wgsdgsdgdsgsd.exe und A0067266.exe

freddie234 · 17.01.2013, 20:43

Hallo,

habe mir die Tage o.g. Schädlinge eingefangen und wollte fragen, wie ich die entfernt bekomme, ohne das System neu aufzusetzen. Habe mal einen Scan mit AntiMalware und OTL gemacht, den ich anbei poste. Habe einen ähnlichen Beitrag gelesen, mit dem Hinweis, dass die Fix-Anleitung nur für dessen System gilt, daher mein eigener Beitrag.

Bin für jegliche Hilfe sehr dankbar!

AntiMalware TXT:

Zitat:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.17.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: K9-5050E [Administrator]

17.01.2013 16:39:19
MBAM-log-2013-01-17 (18-50-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|P:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 547941
Laufzeit: 2 Stunde(n), 10 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\System Volume Information\_restore{9CDCC80F-D3B7-49C6-974F-0843A0731D80}\RP302\A0067018.exe (Trojan.Zbot.ACgen) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{9CDCC80F-D3B7-49C6-974F-0843A0731D80}\RP305\A0067130.exe (Trojan.FakeMS) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{9CDCC80F-D3B7-49C6-974F-0843A0731D80}\RP305\A0067262.exe (Trojan.Zbot.ACgen) -> Keine Aktion durchgeführt.

(Ende)

OTL.txt
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 17.01.2013 19:26:10 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,29 Gb Available Physical Memory | 64,75% Memory free
3,85 Gb Paging File | 3,27 Gb Available in Paging File | 84,98% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 31,04 Gb Free Space | 63,56% Space Free | Partition Type: NTFS
Drive D: | 48,83 Gb Total Space | 40,66 Gb Free Space | 83,27% Space Free | Partition Type: NTFS
Drive E: | 368,09 Gb Total Space | 14,99 Gb Free Space | 4,07% Space Free | Partition Type: NTFS
Drive F: | 1,59 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive P: | 185,54 Gb Total Space | 3,67 Gb Free Space | 1,98% Space Free | Partition Type: NTFS
 
Computer Name: K9-5050E | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.01.17 16:39:44 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
PRC - [2012.12.15 08:24:21 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.12.15 08:24:16 | 000,079,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.12.15 08:24:15 | 000,384,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.12.15 08:24:15 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.11.20 01:22:31 | 003,246,040 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
PRC - [2011.11.15 18:44:36 | 002,155,848 | ---- | M] () -- C:\Anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe
PRC - [2011.09.22 22:21:12 | 000,395,344 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
PRC - [2011.09.22 22:21:10 | 000,805,032 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2011.09.22 22:20:44 | 005,587,832 | ---- | M] (Acronis) -- C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe
PRC - [2011.05.24 10:33:30 | 001,840,128 | ---- | M] (MAGIX AG) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
PRC - [2009.01.27 22:12:11 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () -- C:\Anwendungen\AAVUpdateManager\aavus.exe
PRC - [2006.09.04 15:47:56 | 000,110,592 | ---- | M] (Matsushita Electric Industrial Co., Ltd.) -- C:\WINDOWS\system32\DVDRAMSV.exe
PRC - [2005.09.26 18:21:58 | 000,069,632 | ---- | M] (ScanSoft, Inc.) -- C:\Anwendungen\Omnipage 15.0\OpWare15.exe
PRC - [2005.08.12 17:37:50 | 001,504,256 | ---- | M] (Cisco Systems, Inc.) -- C:\Anwendungen\VPN Client\cvpnd.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.09.19 18:17:40 | 000,397,088 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2011.11.15 18:44:36 | 002,155,848 | ---- | M] () -- C:\Anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe
MOD - [2011.09.22 22:20:28 | 011,233,136 | ---- | M] () -- C:\Programme\Acronis\TrueImageHome\Common\ti_managers.dll
MOD - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () -- C:\Anwendungen\AAVUpdateManager\aavus.exe
MOD - [2002.11.26 12:43:18 | 000,106,496 | ---- | M] () -- C:\WINDOWS\system32\BrMuSNMP.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\ersvc.dll -- (ERSvc)
SRV - File not found [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2012.12.15 08:24:21 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.12.15 08:24:15 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.09.07 19:08:34 | 000,114,144 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2011.11.20 01:22:31 | 003,246,040 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe -- (afcdpsrv)
SRV - [2011.11.15 18:44:36 | 002,155,848 | ---- | M] () [Auto | Running] -- C:\Anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe -- (OS Selector)
SRV - [2011.09.22 22:21:10 | 000,805,032 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2011.06.07 20:29:16 | 000,630,272 | ---- | M] (FileZilla Project) [On_Demand | Stopped] -- C:\Anwendungen\FileZilla Server\FileZilla server.exe -- (FileZilla Server)
SRV - [2011.05.24 10:33:30 | 001,840,128 | ---- | M] (MAGIX AG) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2011.04.26 13:54:12 | 002,702,848 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2010.03.09 19:50:25 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () [Auto | Running] -- C:\Anwendungen\AAVUpdateManager\aavus.exe -- (AAV UpdateService)
SRV - [2007.12.10 12:59:04 | 000,353,280 | ---- | M] (Nokia.) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2006.10.26 13:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006.09.04 15:47:56 | 000,110,592 | ---- | M] (Matsushita Electric Industrial Co., Ltd.) [Auto | Running] -- C:\WINDOWS\system32\DVDRAMSV.exe -- (DVD-RAM_Service)
SRV - [2006.07.05 14:02:03 | 000,358,008 | ---- | M] (Protection Technology (StarForce)) [Auto | Stopped] -- C:\WINDOWS\System32\sfrem01.exe -- (sfrem01)
SRV - [2005.08.12 17:37:50 | 001,504,256 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Anwendungen\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfusb.sys -- (tosrfusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tosrfsnd.sys -- (TosRfSnd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfnds.sys -- (tosrfnds)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Tosrfhid.sys -- (Tosrfhid)
DRV - File not found [Kernel | System | Stopped] -- System32\Drivers\tosrfcom.sys -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfbd.sys -- (tosrfbd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosporte.sys -- (tosporte)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Anwendungen\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys -- (SANDRA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\LV302V32.SYS -- (PID_PEPI)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lv302af.sys -- (pepifilter)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\LVUSBSta.sys -- (LVUSBSta)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Downloads\Optimierung & Benchmark\cpuz.sys -- (cpuz)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV - [2012.12.15 08:24:22 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.12.15 08:24:22 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.11.16 20:17:15 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012.08.27 14:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2011.11.20 01:53:36 | 000,170,752 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\snapman.sys -- (snapman)
DRV - [2011.11.20 01:53:33 | 000,076,768 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\fltsrv.sys -- (fltsrv)
DRV - [2011.11.20 01:22:34 | 000,167,968 | ---- | M] (Acronis) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\afcdp.sys -- (afcdp)
DRV - [2011.11.20 01:22:28 | 000,752,128 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\tdrpm273.sys -- (tdrpman273)
DRV - [2011.11.20 01:22:27 | 000,600,928 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\timntr.sys -- (timounter)
DRV - [2011.08.08 21:58:38 | 000,100,368 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AtihdXP3.sys -- (AtiHDAudioService)
DRV - [2011.02.14 01:42:36 | 000,020,864 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbdiag.sys -- (UsbDiag)
DRV - [2011.02.14 01:42:34 | 000,025,216 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbmodem.sys -- (USBModem)
DRV - [2011.02.14 01:42:32 | 000,013,056 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbbus.sys -- (usbbus)
DRV - [2010.07.30 13:16:46 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2010.07.30 13:16:44 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2010.07.30 13:16:42 | 000,023,040 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2010.07.30 13:16:38 | 000,018,048 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2010.07.26 11:24:46 | 000,137,600 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdnsu.sys -- (nmwcdnsu)
DRV - [2010.07.26 11:24:42 | 000,008,576 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc)
DRV - [2009.12.30 17:54:33 | 000,017,480 | ---- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)
DRV - [2009.12.11 22:02:42 | 004,525,056 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009.07.16 17:19:32 | 000,009,472 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\dumpdrv.sys -- (DumpDrv)
DRV - [2009.03.05 10:02:36 | 000,041,120 | ---- | M] (Realtek) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2832U_IRHID.sys -- (RTL2832U_IRHID)
DRV - [2009.03.04 17:27:16 | 000,032,288 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2832UUSB.sys -- (RTL2832UUSB)
DRV - [2009.03.04 17:27:14 | 000,074,912 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2832UBDA.sys -- (RTL2832UBDA)
DRV - [2009.02.25 18:55:00 | 000,009,088 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Anwendungen\RivaTuner v2.24\RivaTuner32.sys -- (RivaTuner32)
DRV - [2009.02.20 17:09:16 | 000,044,032 | R--- | M] (Siemens Home and Office Communication Devices GmbH & Co. KG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\GigasetGenericUSB.sys -- (GigasetGenericUSB)
DRV - [2009.01.27 22:15:37 | 000,025,244 | ---- | M] (Adaptec) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aspi32.sys -- (Aspi32)
DRV - [2009.01.07 03:29:23 | 000,170,496 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\atinavt2.sys -- (ATIAVAIW)
DRV - [2008.05.20 10:53:00 | 004,800,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2008.04.29 09:00:00 | 000,288,896 | ---- | M] (Marvell) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp)
DRV - [2008.04.13 23:15:34 | 000,011,520 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\scsiscan.sys -- (scsiscan)
DRV - [2007.10.12 02:40:00 | 000,009,096 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\amdide.sys -- (amdide)
DRV - [2007.05.07 02:00:00 | 000,537,600 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2007.05.07 02:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2006.12.01 12:28:04 | 000,117,744 | ---- | M] (Matsushita Electric Industrial Co.,Ltd.) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\meiudf.sys -- (meiudf)
DRV - [2006.11.10 14:05:00 | 000,018,688 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\afc.sys -- (Afc)
DRV - [2006.09.06 15:08:30 | 000,017,024 | ---- | M] (Panasonic Shikoku Electronics Co., Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\psecbdr.sys -- (psecbdr)
DRV - [2006.08.11 14:47:13 | 000,059,776 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfsync04.sys -- (sfsync04)
DRV - [2006.07.05 13:46:06 | 000,063,352 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfdrv01a.sys -- (sfdrv01a)
DRV - [2006.06.14 15:56:56 | 000,013,680 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02)
DRV - [2005.09.16 05:47:36 | 000,089,808 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\slabser.sys -- (slabser)
DRV - [2005.09.16 05:47:36 | 000,055,312 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\slabbus.sys -- (slabbus)
DRV - [2005.08.12 17:35:56 | 000,305,739 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV - [2005.05.17 04:51:34 | 000,005,315 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2005.05.03 16:34:02 | 000,027,392 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys -- (ElbyCDFL)
DRV - [2005.01.26 05:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2004.11.03 12:07:24 | 000,146,888 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)
DRV - [2004.08.22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347prt.sys -- (d347prt)
DRV - [2004.08.22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\d347bus.sys -- (d347bus)
DRV - [2004.08.13 10:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2004.07.09 04:26:38 | 000,015,104 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2001.08.17 11:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
 
 
========== Standard Registry (All) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL =  [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Extensions Off Page = about:NoAdd-ons
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Security Risk Page = about:SecurityRisk
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll (Microsoft Corporation)
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "https://signin.ebay.de/ws/eBayISAPI.dll?SignIn"
FF - prefs.js..extensions.enabledAddons: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.8
FF - prefs.js..extensions.enabledAddons: flvmoviesdownloader@rzll:1.43
FF - prefs.js..extensions.enabledAddons: {972ce4c6-7e08-4474-a285-3208198ce6fd}:15.0.1
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6.17
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@gpac/osmozilla,version=1.0: C:\Anwendungen\GPAC\nposmozilla.dll ( )
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.0: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.4.0: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2105: C:\Anwendungen\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.2163: C:\Anwendungen\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1212: C:\Anwendungen\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.1: C:\Anwendungen\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{20a82645-c095-46ed-80e3-08825760534b}: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\ [2009.02.20 22:41:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: C:\Anwendungen\Mozilla Firefox\components [2012.12.01 17:50:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: C:\Anwendungen\Mozilla Firefox\plugins [2012.12.01 17:51:34 | 000,000,000 | ---D | M]
 
[2009.11.01 12:50:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2009.11.01 12:50:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\{92650c4d-4b8e-4d2a-b7eb-24ecf4f6b63a}
[2009.05.28 17:53:47 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
[2012.09.07 19:09:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\extensions
[2012.03.26 22:21:34 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2009.02.04 20:51:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Sunbird\Profiles\23ezmf2k.default\extensions
[2012.09.07 19:09:03 | 000,014,838 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\extensions\flvmoviesdownloader@rzll.xpi
 
O1 HOSTS File: ([2004.11.11 12:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKCU\..\Toolbar\ShellBrowser: (&Adresse) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (&Adresse) - {01E04581-4EEE-11D0-BFE9-00AA005B4383} - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)
O3 - HKCU\..\Toolbar\WebBrowser: (&Links) - {0E5CBF21-D15F-11D0-8301-00AA005B4383} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [OpScheduler] "C:\Anwendungen\Omnipage 15.0\OpScheduler.exe" File not found
O4 - HKLM..\Run: [Opware15] C:\Anwendungen\Omnipage 15.0\Opware15.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [PDF3 Registry Controller] C:\Anwendungen\Omnipage 15.0\PDFConverter3\RegistryController.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [RTHDCPL] C:\WINDOWS\RTHDCPL.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe (Acronis)
O4 - HKCU..\Run: [Ogylpaunli] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Camyl\cevoy.exe (Microsoft Corporation)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Anwendungen\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{00CD55D6-EE5A-4570-9875-8A306628C032}\Icon3E5562ED7.ico ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption = 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext = 
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ForceClassicControlPanel = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoInstrumentation = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuMFUprogramsList = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE (Microsoft Corporation)
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 3.0) - C:\Anwendungen\Omnipage 15.0\PDFConverter3\IEShellExt.dll (ScanSoft, Inc.)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000002 [] - C:\WINDOWS\system32\winrnr.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000003 [] - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\WINDOWS\system32\wshbth.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\WINDOWS\system32\rsvpsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\WINDOWS\system32\rsvpsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\WINDOWS\system32\mswsock.dll (Microsoft Corporation)
O15 - HKCU\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O18 - Protocol\Handler\about {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)
O18 - Protocol\Handler\cdl {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\dvd {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll (Microsoft Corporation)
O18 - Protocol\Handler\file {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\ftp {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\gopher {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\http {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll (Microsoft Corporation)
O18 - Protocol\Handler\javascript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)
O18 - Protocol\Handler\local {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\mailto {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)
O18 - Protocol\Handler\mhtml {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll (Microsoft Corporation)
O18 - Protocol\Handler\mk {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp - No CLSID value found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-its {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\res {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)
O18 - Protocol\Handler\sysimage {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)
O18 - Protocol\Handler\tv {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll (Microsoft Corporation)
O18 - Protocol\Handler\vbscript {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll (Microsoft Corporation)
O18 - Protocol\Handler\wia {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll (Microsoft Corporation)
O18 - Protocol\Filter\application/octet-stream {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\System32\mscoree.dll (Microsoft Corporation)
O18 - Protocol\Filter\application/x-complus {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\System32\mscoree.dll (Microsoft Corporation)
O18 - Protocol\Filter\application/x-msdownload {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - C:\WINDOWS\System32\mscoree.dll (Microsoft Corporation)
O18 - Protocol\Filter\Class Install Handler {32B533BB-EDAE-11d0-BD5A-00AA00B92AF1} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Filter\deflate {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Filter\gzip {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Filter\lzdhtml {8f6b0360-b80d-11d0-a9b3-006097942311} - C:\WINDOWS\system32\urlmon.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/webviewhtml {733AC4CB-F1A4-11d0-B951-00A0C90312E1} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UIHost - (logonui.exe) - C:\WINDOWS\System32\logonui.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (rundll32 shell32) - C:\WINDOWS\System32\shell32.dll (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (Control_RunDLL "sysdm.cpl") - C:\WINDOWS\System32\sysdm.cpl (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\crypt32chain: DllName - (crypt32.dll) - C:\WINDOWS\System32\crypt32.dll (Microsoft Corporation)
O20 - Winlogon\Notify\cryptnet: DllName - (cryptnet.dll) - C:\WINDOWS\System32\cryptnet.dll (Microsoft Corporation)
O20 - Winlogon\Notify\cscdll: DllName - (cscdll.dll) - C:\WINDOWS\System32\cscdll.dll (Microsoft Corporation)
O20 - Winlogon\Notify\dimsntfy: DllName - (%SystemRoot%\System32\dimsntfy.dll) - C:\WINDOWS\system32\dimsntfy.dll (Microsoft Corporation)
O20 - Winlogon\Notify\ScCertProp: DllName - (wlnotify.dll) - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)
O20 - Winlogon\Notify\Schedule: DllName - (wlnotify.dll) - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)
O20 - Winlogon\Notify\sclgntfy: DllName - (sclgntfy.dll) - C:\WINDOWS\System32\sclgntfy.dll (Microsoft Corporation)
O20 - Winlogon\Notify\SensLogn: DllName - (WlNotify.dll) - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)
O20 - Winlogon\Notify\termsrv: DllName - (wlnotify.dll) - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)
O20 - Winlogon\Notify\wlballoon: DllName - (wlnotify.dll) - C:\WINDOWS\System32\wlnotify.dll (Microsoft Corporation)
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - C:\WINDOWS\system32\shell32.dll (Microsoft Corporation)
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll (Microsoft Corporation)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll (Microsoft Corporation)
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Browseui preloader - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Component Categories cache daemon - C:\WINDOWS\system32\browseui.dll (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: E:\Photos\Boris\Julie\IMG_0238_1280.bmp
O24 - Desktop BackupWallPaper: E:\Photos\Boris\Julie\IMG_0238_1280.bmp
O28 - HKLM ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - C:\WINDOWS\System32\shell32.dll (Microsoft Corporation)
O29 - HKLM SecurityProviders - (msapsspc.dll) - C:\WINDOWS\System32\msapsspc.dll (Microsoft Corporation)
O29 - HKLM SecurityProviders - (schannel.dll) - C:\WINDOWS\System32\schannel.dll (Microsoft Corporation)
O29 - HKLM SecurityProviders - (digest.dll) - C:\WINDOWS\System32\digest.dll (Microsoft Corporation)
O29 - HKLM SecurityProviders - (msnsspc.dll) - C:\WINDOWS\System32\msnsspc.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (msv1_0) - C:\WINDOWS\System32\msv1_0.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (kerberos) - C:\WINDOWS\System32\kerberos.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (msv1_0) - C:\WINDOWS\System32\msv1_0.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (schannel) - C:\WINDOWS\System32\schannel.dll (Microsoft Corporation)
O30 - LSA: Security Packages - (wdigest) - C:\WINDOWS\System32\wdigest.dll (Microsoft Corporation)
O31 - SafeBoot: AlternateShell - cmd.exe
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.06.02 13:01:01 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005.07.01 02:24:04 | 000,001,183 | ---- | M] () - E:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{ee004008-cf8e-11e1-aefe-0023540b4fe7}\Shell - "" = AutoRun
O33 - MountPoints2\{ee004008-cf8e-11e1-aefe-0023540b4fe7}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ee004008-cf8e-11e1-aefe-0023540b4fe7}\Shell\AutoRun\command - "" = I:\LGAutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.17 16:39:44 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2013.01.11 00:33:51 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2013.01.10 23:56:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
[2013.01.10 23:56:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ubofty
[2013.01.10 23:56:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Cosah
[2013.01.10 23:56:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Camyl
[2013.01.06 16:13:28 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Brother
[2013.01.06 15:31:35 | 000,000,000 | R--D | C] -- D:\Eigene Dateien\Eigene Bilder
[2013.01.06 14:57:47 | 000,000,000 | ---D | C] -- D:\Eigene Dateien\Downloads
[2013.01.03 14:42:30 | 000,251,664 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\Msrd2x35.dll
[2013.01.03 14:42:18 | 001,046,288 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msjet35.dll
[2013.01.03 14:42:18 | 000,037,136 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSJINT35.DLL
[2013.01.03 14:42:18 | 000,024,336 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\MSJTER35.DLL
[2012.12.28 23:55:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Steuertipps
[2009.02.15 00:02:04 | 000,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.sys
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.17 19:14:54 | 001,018,998 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.01.17 19:14:54 | 000,937,642 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.01.17 19:14:54 | 000,279,308 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.01.17 19:14:54 | 000,259,882 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.01.17 18:40:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013.01.17 16:49:40 | 000,000,441 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2013.01.17 16:39:44 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2013.01.17 16:31:17 | 000,000,759 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.17 14:47:59 | 000,002,305 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2013.01.17 14:47:53 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013.01.17 14:47:45 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.01.15 21:05:01 | 000,072,192 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.01.15 20:39:32 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.01.11 00:25:28 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2013.01.06 16:54:40 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar- Erklärung 2013.lnk
[2013.01.03 16:00:20 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel
[2012.12.29 00:11:59 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2012.lnk
[2012.12.28 23:55:22 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2011.lnk
[2012.12.28 12:54:32 | 000,334,664 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[6 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.01.06 16:50:42 | 000,001,727 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar- Erklärung 2013.lnk
[2013.01.03 16:00:20 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel
[2012.12.28 23:55:22 | 000,001,727 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2011.lnk
[2012.12.02 20:17:15 | 000,000,046 | ---- | C] () -- C:\WINDOWS\Speed.INI
[2012.09.26 18:44:32 | 000,299,008 | ---- | C] () -- C:\WINDOWS\Uninstall_tkexe.exe
[2012.09.08 17:09:36 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2012.09.08 17:09:18 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf08b.dat
[2012.09.08 17:09:16 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2011.10.12 16:16:30 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\OpenVideo.dll
[2011.09.14 11:47:40 | 000,053,760 | ---- | C] () -- C:\WINDOWS\System32\OVDecode.dll
[2011.06.16 17:45:29 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.06.16 17:45:29 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.06.16 17:45:29 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.06.16 17:45:29 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.06.16 17:45:29 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.05.10 22:46:56 | 000,114,176 | ---- | C] () -- C:\WINDOWS\System32\HMPCab.dll
[2011.02.05 20:47:28 | 000,000,012 | ---- | C] () -- C:\WINDOWS\B2.INI
[2010.01.19 21:21:29 | 000,000,406 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2009.03.16 00:34:12 | 000,072,192 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.02.20 22:41:10 | 001,211,072 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009.02.15 00:02:04 | 000,087,608 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\inst.exe
[2009.02.15 00:02:04 | 000,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.cat
[2009.02.15 00:02:04 | 000,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.inf
[2009.02.07 21:22:07 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
 
========== ZeroAccess Check ==========
 
[2009.01.31 09:42:24 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2011.09.05 14:54:40 | 001,510,400 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:54:48 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 06:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 487 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:05EE1EEF

< End of report >

--- --- ---
Extras.txt (OTL)
OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 17.01.2013 19:26:10 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,29 Gb Available Physical Memory | 64,75% Memory free
3,85 Gb Paging File | 3,27 Gb Available in Paging File | 84,98% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 31,04 Gb Free Space | 63,56% Space Free | Partition Type: NTFS
Drive D: | 48,83 Gb Total Space | 40,66 Gb Free Space | 83,27% Space Free | Partition Type: NTFS
Drive E: | 368,09 Gb Total Space | 14,99 Gb Free Space | 4,07% Space Free | Partition Type: NTFS
Drive F: | 1,59 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive P: | 185,54 Gb Total Space | 3,67 Gb Free Space | 1,98% Space Free | Partition Type: NTFS
 
Computer Name: K9-5050E | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = MozillaHTML] -- C:\Anwendungen\Mozilla\seamonkey.exe (mozilla.org)
.js [@ = jsfile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.jse [@ = JSEFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.vbe [@ = VBEFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.vbs [@ = VBSFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
.wsf [@ = WSFFile] -- C:\WINDOWS\System32\CScript.exe (Microsoft Corporation)
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = SeaMonkeyHTML] -- C:\Anwendungen\seamonkey2\seamonkey.exe (mozilla.org)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
http [open] -- C:\ANWEND~1\MOZILLA\SEAMON~1.EXE -osint -url "%1" (mozilla.org)
https [open] -- C:\ANWEND~1\MOZILLA\SEAMON~1.EXE -osint -url "%1" (mozilla.org)
jsfile [edit] -- "C:\Anwendungen\Dreamweaver 8\dreamweaver.exe" "%1" (Macromedia, Inc.)
jsfile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
jsefile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
vbefile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
vbsfile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
wsffile [open] -- %SystemRoot%\System32\CScript.exe "%1" %* (Microsoft Corporation)
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Anwendungen\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [foobar2000.enqueue] -- "C:\Anwendungen\foobar2000\foobar2000.exe" /add "%1" ()
Directory [foobar2000.play] -- "C:\Anwendungen\foobar2000\foobar2000.exe" "%1" ()
Directory [OpenNew] -- cmd.exe /k cd %1 (Microsoft Corporation)
Directory [Pixum EasyBook] -- "C:\Anwendungen\Pixum EasyBook\Pixum EasyBook.exe" "%1"
Directory [PlayWithVLC] -- "C:\Anwendungen\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"UpdatesDisableNotify" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"54925:UDP" = 54925:UDP:*:Enabled:BrotherNetwork Scanner
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe" = C:\Programme\Java\jre6\launch4j-tmp\JDownloader.exe:*:Enabled:Java(TM) Platform SE binary
"C:\WINDOWS\system32\java.exe" = C:\WINDOWS\system32\java.exe:*:Enabled:Java(TM) Platform SE binary -- (Oracle Corporation)
"C:\Anwendungen\SiSoftware Sandra Lite 2009.SP2\WNt500x86\RpcSandraSrv.exe" = C:\Anwendungen\SiSoftware Sandra Lite 2009.SP2\WNt500x86\RpcSandraSrv.exe:*:Enabled:SiSoftware Sandra Agent Service
"C:\WINDOWS\system32\PnkBstrA.exe" = C:\WINDOWS\system32\PnkBstrA.exe:*:Enabled:PnkBstrA -- ()
"C:\WINDOWS\system32\PnkBstrB.exe" = C:\WINDOWS\system32\PnkBstrB.exe:*:Enabled:PnkBstrB -- ()
"C:\Anwendungen\ClipInc\Server\ClipInc-Server.exe" = C:\Anwendungen\ClipInc\Server\ClipInc-Server.exe:*:Enabled:ClipInc Server
"C:\Anwendungen\ClipInc\Player\ClipInc-Player.exe" = C:\Anwendungen\ClipInc\Player\ClipInc-Player.exe:*:Enabled:ClipInc Player
"E:\Spiele\FlatOut Ultimate Carnage\Fouc.exe" = E:\Spiele\FlatOut Ultimate Carnage\Fouc.exe:*:Enabled:FlatOut Ultimate Carnage -- (Empire Interactive Ltd.)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype
"C:\Programme\Bonjour\mDNSResponder.exe" = C:\Programme\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour -- (Apple Computer, Inc.)
"C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox
"E:\Spiele\Ikaro\Ikaro.exe" = E:\Spiele\Ikaro\Ikaro.exe:*:Enabled:Ikaro
"E:\Spiele\COD4\iw3mp.exe" = E:\Spiele\COD4\iw3mp.exe:*:Enabled:Call of Duty(R) 4 - Modern Warfare(TM) -- ()
"F:\fsetup.exe" = F:\fsetup.exe:*:Enabled:AVM FSetup Application
"C:\Anwendungen\Skype\Phone\Skype.exe" = C:\Anwendungen\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00CD55D6-EE5A-4570-9875-8A306628C032}" = Cisco Systems VPN Client 4.7.00.0533
"{04A3A6B0-8E19-49BB-82FF-65C5A55F917D}" = Acronis*True*Image*Home 2011
"{04AF207D-9A77-465A-8B76-991F6AB66245}" = Adobe Help Viewer CS3
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{08B32819-6EEF-4057-AEDA-5AB681A36A23}" = Adobe Bridge Start Meeting
"{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{0A3D3C54-2EC0-4D67-B265-FF17926E6D67}" = Nokia Connectivity Cable Driver
"{0DD140D3-9563-481E-AA75-BA457CBDAEF2}" = PC Inspector File Recovery
"{0E0DF90C-D0BA-4C89-9262-AD78D1A3DE51}" = HP USB Disk Storage Format Tool
"{0F022A2E-7022-497D-90A5-0F46746D8275}" = Macromedia Extension Manager
"{196467F1-C11F-4F76-858B-5812ADC83B94}" = MSXML 4.0 SP3 Parser
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{23CA9123-B1AA-C4B6-6997-7756BBAEC461}" = AMD Catalyst Install Manager
"{258D56DE-24F2-479E-BED2-8103CB0B9D58}" = MAGIX Video deluxe 2013 Plus
"{259C0ABB-A3B2-4D70-008F-BF7EE491B70B}" = Need for Speed™ Carbon
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java(TM) 7 Update 4
"{2934DCB0-F8EE-11E0-A4A5-B8AC6F97B88E}" = Google Earth Plug-in
"{2A3A4BD6-6CE0-4E2A-80D2-1D0FF6ACBFBA}" = LG United Mobile Driver
"{2E01C311-3ED2-42CF-B1E9-9A36D4B9E26B}" = MAGIX Speed burnR (MSI)
"{2F8BA3FD-1FA9-4279-B696-712ABB12F09F}" = SmartSound Quicktracks 5
"{30B60E20-E995-4EB5-95F5-91595CA32C0F}" = ACDSee 5.0 Standard Trial
"{332D9DDE-7A4E-40B6-927C-E83F1957C7E7}" = MobileMaster
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{37FAC9D7-D6F9-4A15-8337-311DB7E19444}" = ScanSoft OmniPage 15.0
"{3A08B59E-A9F0-4F4D-B7E5-6875D7F13327}" = Brother MFL-Pro Suite DCP-585CW
"{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}" = DAEMON Tools
"{44025BD7-AD10-4769-99AE-6378FD0303D6}" = Macromedia Dreamweaver 8
"{4AA5B8A5-BEEF-4AD8-B11D-4443A042EA4F}" = Adobe Dreamweaver CS3
"{6171316C-9234-4FD5-B566-A31DFDCE9784}" = MAGIX Video deluxe 2013 Plus (Video Plugins)
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{68E6C142-9E12-45F4-88DD-C9F7F278FBD9}" = Ulead PhotoImpact 7 Probeversion
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6C5F8503-55D2-4398-858C-362B7A7AF51C}" = Firebird SQL Server - MAGIX Edition
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{6FF5DD7A-FE28-4439-B8CF-1E9AF4EA0A61}" = Adobe Asset Services CS3
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser und SDK
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7B4A5C13-069F-4AFE-AE57-C497B4E33C7E}" = Call of Duty(R) 2 Patch 1.3
"{7D386596-0E80-4808-8AAE-C1DDA8212F7F}" = Adobe Setup
"{7F3AD00A-1819-4B15-BB7D-08B3586336D7}" = 3DMark06
"{833C263F-55F0-4D72-AAAD-172FA0484F30}" = ScanSoft PDF Create! 3.0
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{8D2BA474-F406-4710-9AE4-D4F22D21F0DD}" = Adobe Device Central CS3
"{8E6808E2-613D-4FCD-81A2-6C8FA8E03312}" = Adobe Type Support
"{8EFB7927-48AD-4E6D-91B7-6B2BD6C3F380}" = Acronis*Disk*Director*11*Home
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90176341-0A8B-4CCC-A78D-F862228A6B95}" = Adobe Anchor Service CS3
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9C9824D9-9000-4373-A6A5-D0E5D4831394}" = Adobe Bridge CS3
"{9D765FA6-F2BC-40AF-8145-50808F9BDF4E}" = BD Driver
"{9F5FD796-86F0-4360-85F8-D54C0F5411EB}" = Steuer-Spar-Erklärung 2011
"{A25FF1C0-80B6-4B8B-A551-DC525697A408}" = AMD APP SDK Runtime
"{A2B242BD-FF8D-4840-9DAA-9170EABEC59C}" = Adobe CMaps
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X Lite - Deutsch
"{AEB61F7A-4BBA-4292-A096-7893E09034A4}" = Steuer-Spar-Erklärung 2013
"{AFA42FE1-A5C3-485F-9180-BFCF5BF1F1C3}" = AAVUpdateManager
"{B3BF6689-A81D-40D8-9A86-4AC4ACD9FC1C}" = Adobe Camera Raw 4.0
"{B8A2869E-30CA-40C5-9CF8-BD7354E57EF8}" = SmartSound Common Data
"{B9B35331-B7E4-4E5C-BF4C-7BC87856124D}" = Adobe Default Language CS3
"{BA084E7C-8ABA-4670-BDE8-B85E689A5C1B}" = PC Connectivity Solution
"{bd5bef51-989a-4d3e-a935-eae14a2b5b60}" = Gigaset QuickSync
"{BE5F3842-8309-4754-92D5-83E02E6077A3}" = Adobe Extension Manager CS3
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2D69781-F392-4118-A5A7-C7E9C38DBFC2}" = Adobe ExtendScript Toolkit 2
"{CCD2BAD2-0919-40CB-80CC-E9538B0E4C2E}" = Steuer-Spar-Erklärung 2012
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0A05794-48C2-4424-A15A-9F20FCFDD374}" = Call of Duty(R) 2
"{D0DFF92A-492E-4C40-B862-A74A173C25C5}" = Adobe Version Cue CS3 Client
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{D2559B88-CC9D-4B48-81BB-F492BAA9C48C}" = Adobe PDF Library Files
"{D6F241BA-6CAC-4973-B510-A3B60DF56F76}" = easyFly 3
"{E38C00D0-A68B-4318-A8A6-F7D4B5B1DF0E}" = Windows Media Encoder 9 Series
"{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"{E69AE897-9E0B-485C-8552-7841F48D42D8}" = Adobe Update Manager CS3
"{F07AAC22-84FB-4D8C-8294-E401B8E442FC}" = ScanSoft PDF Converter 3.0
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{FA0BBB87-91A1-4BFD-9005-EB058BBA0E14}_is1" = StreamTransport version: 1.0.2.2171
"{FD052FB9-FE90-4438-B355-15EDC89D8FB1}" = Microsoft Games for Windows - LIVE Redistributable
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe_25db75244653b42cb93dc27939d1c0e" = Adobe Dreamweaver CS3
"Age of Empires 2.0" = Microsoft Age of Empires II
"Age of Empires II: The Conquerors Expansion 1.0" = Microsoft Age of Empires II: The Conquerors Expansion
"Arbeitszeit" = TKexe Arbeitszeit
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira Free Antivirus
"AviSynth" = AviSynth 2.5
"BootDisk2BootStick" = BootDisk2BootStick 0.10
"Call of Duty" = Call of Duty
"CCleaner" = CCleaner
"CloneCD" = CloneCD
"Cool Edit 2000" = Cool Edit 2000
"Duke Nukem 3D HRP" = Duke Nukem 3D HRP V 4.0 (321)
"DVDFab Platinum 4_is1" = DVDFab Platinum 4.1.2.0 Beta Ghosthunter release
"DVD-lab PRO_is1" = DVD-lab PRO 1.53
"DVDx 4.0 Open Edition" = DVDx 4.0 Open Edition
"FileZilla Server" = FileZilla Server
"FlatOut Ultimate Carnage" = FlatOut Ultimate Carnage
"foobar2000" = foobar2000 v1.1.9
"FotoLook3DeinstKey" = Agfa FotoLook 3.60.00 
"Fraps" = Fraps
"FRITZ! 2.0" = AVM FRITZ!fax für FRITZ!Box
"GetDiz 4.5" = GetDiz 4.5
"Hamachi" = Hamachi 1.0.1.5
"hp deskjet 6122 series_Driver" = hp deskjet 6122 series
"ie8" = Windows Internet Explorer 8
"InstallShield_{050C1C8E-4A4D-4C2F-B9AE-67E60EE91B7F}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.3 Patch
"InstallShield_{149464D9-B06F-4505-9968-FD1206F67AD3}" = Call of Duty(R) - World at War(TM) 1.3 Patch
"InstallShield_{2BF0AE92-C3BC-4112-9066-1546342B1FAE}" = Call of Duty(R) - World at War(TM) 1.2 Patch
"InstallShield_{2F8BA3FD-1FA9-4279-B696-712ABB12F09F}" = SmartSound Quicktracks 5
"InstallShield_{3BD633E0-4BF8-4499-9149-88F0767D449C}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.4 Patch
"InstallShield_{5D7767FA-7FE8-4627-9F09-AEF7A25F1E07}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.1 Patch
"InstallShield_{8503C901-85D7-4262-88D2-8D8B2A7B08B8}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.5 Multiplayer Patch
"InstallShield_{8A15B7D9-908A-4EF9-BA84-5AEDE61743EE}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.6 Patch
"InstallShield_{931C37FC-594D-43A9-B10F-A2F2B1F03498}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.7 Patch
"InstallShield_{9F01A67B-7D67-482F-9D4F-D5980A440FD4}" = Call of Duty(R) - World at War(TM) 1.4 Patch
"InstallShield_{AFAE2B15-89A0-4215-A030-F7B5B478886B}" = Call of Duty(R) - World at War(TM) 1.1 Patch
"InstallShield_{B8A2869E-30CA-40C5-9CF8-BD7354E57EF8}" = SmartSound Common Data
"InstallShield_{D0A05794-48C2-4424-A15A-9F20FCFDD374}" = Call of Duty(R) 2
"InstallShield_{E48469CC-635E-4FD5-A122-1497C286D217}" = Call of Duty(R) 4 - Modern Warfare(TM)
"InstallShield_{E5141379-B2D9-4BBC-BB2A-5805541571DD}" = Call of Duty(R) 4 - Modern Warfare(TM) 1.2 Patch
"IsoBuster_is1" = IsoBuster 1.8
"Klett Lehrersoftware Orange Line" = Klett Lehrersoftware Orange Line
"KLiteCodecPack_is1" = K-Lite Codec Pack 5.7.0 (Full)
"LogView V2" = LogView V2
"MAGIX_{258D56DE-24F2-479E-BED2-8103CB0B9D58}" = MAGIX Video deluxe 2013 Plus
"MAGIX_{2E01C311-3ED2-42CF-B1E9-9A36D4B9E26B}" = MAGIX Speed burnR (MSI)
"MAGIX_{6171316C-9234-4FD5-B566-A31DFDCE9784}" = MAGIX Video deluxe 2013 Plus (Video Plugins)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Marvell Miniport Driver" = Marvell Miniport Driver
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MKVtoolnix" = MKVtoolnix 2.2.0
"Mozilla Firefox 15.0.1 (x86 de)" = Mozilla Firefox 15.0.1 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Nero - Burning Rom!UninstallKey" = Nero 6 Ultra Edition
"nLite_is1" = nLite 1.4.9.1
"OpenAL" = OpenAL
"Osmo4" = Osmo4/GPAC (remove only)
"quicktime_lite_is1" = QT Lite 4.1.0
"RealPlayer 6.0" = RealPlayer
"RivaTuner" = RivaTuner v2.24
"SeriousSam2" = Serious Sam 2
"SLABCOMM&10C4&EA60" = CP210x USB to UART Bridge Controller
"StaxRip_is1" = StaxRip 1.1.1.0
"Streamripper" = Streamripper (Remove only)
"Tag&Rename_is1" = Tag&Rename 3.1.6
"Terminal Server Client" = Terminaldiensteclient
"Tweak UI 2.10" = Tweak UI
"UltraISO_is1" = UltraISO V7.6 ME
"Updaterollup" = Updaterollup für Windows XP
"VLC media player" = VLC media player 2.0.1
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Windows Media Encoder 9" = Windows Media Encoder 9 Series
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"WinGimp-2.0_is1" = GIMP 2.6.4
"WinImage" = WinImage
"WinRAR archiver" = WinRAR 4.01 (32-Bit)
"WMFDist11" = Windows Media Format 11 runtime
"Wudf01009" = Microsoft User-Mode Driver Framework Feature Pack 1.9
"XMPEG" = XMPEG 5.0
"XPSP3UPPACK" = Sereby's XP SP3 Updatepack Version 3.11.11
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"LogView V2 2" = LogView V2 2
"WinSetupFromUSB" = WinSetupFromUSB
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 17.01.2013 11:39:38 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 17.01.2013 11:51:30 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.01.2013 11:51:30 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.01.2013 11:51:30 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 17.01.2013 12:24:47 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.01.2013 12:24:47 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.01.2013 12:24:47 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 17.01.2013 14:14:51 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.01.2013 14:14:51 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3012
Description = Die Zeichenfolgen der Leistungsindikatoren in der Leistungsindikatorenregistrierung
 werden beschädigt wenn  der Prozess Performance auf dem Erweitungerungsindikator-Anbieter
 ausgeführt wird. Der Wert BaseIndex aus der  Leistungsregistrierung ist das erste
 DWORD im Datenbereich, der Wert LastCounter ist das zweite   DWORD im Datenbereich
 und der Werte LastHelp ist das dritte DWORD im Datenbereich.
 
Error - 17.01.2013 14:14:51 | Computer Name = K9-5050E | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
[ System Events ]
Error - 03.01.2013 10:57:49 | Computer Name = K9-5050E | Source = Cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.
 
Error - 03.01.2013 11:58:28 | Computer Name = K9-5050E | Source = Cdrom | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\CdRom0.
 
 
< End of report >

--- --- ---
Freue mich auf Antwort, falls noch Fragen offen sind, immer her damit :-)
Gruß
Freddie

M-K-D-B · 18.01.2013, 17:34

Mein Name ist Matthias und ich werde dir bei der Bereinigung deines Computers helfen.

Bitte beachte folgende Hinweise:

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden. Es können mehrere Analyse- und Bereinigungsschritte erforderlich sein.
Abschließend entfernen wir wieder alle verwendeten Programme und ich gebe dir ein paar Tipps für die Zukunft mit auf den Weg.
Bei Anzeichen von illegaler Software wird der Support ohne Diskussion eingestellt.
Bitte arbeite alle Schritte in der vorgegebenen Reihefolge nacheinander ab.
Lies dir die Anleitungen sorgfältig durch. Solltest du Probleme haben, stoppe mit deiner Bearbeitung und beschreibe mir dein Problem so gut es geht.
Führe nur Scans durch, zu denen du von mir oder einem anderen Helfer aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder deinstalliere während der Bereinigung keine Software außer du wirst dazu aufgefordert.
Solltest du mir nicht innerhalb von 3 Tagen antworten, gehe ich davon aus, dass du keine Hilfe mehr benötigst. Dann lösche ich dein Thema aus meinem Abo.
Alle zu verwendenen Programme sind auf dem Desktop abzuspeichern und von dort zu starten!
Ich kann Dir niemals eine Garantie geben, dass auch ich alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Schritt 1
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
Wenn der Scan beendet wurde (Finished), klicke auf OK.
Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 2
Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
nichts am Rechner arbeiten,
nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt[/B] auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Bitte poste mit deiner nächsten Antwort

die Logdatei von DeFogger,
die Logdatei von GMER.

freddie234 · 18.01.2013, 23:08

Hallo M-K-D-B,
vielen herzlichen Dank für Deine prompte Hilfe. Habe alle Schritte wie befohlen ausgeführt. Hier die Log-Dateien

Defogger:

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 20:28 on 18/01/2013 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
d347prt -> Disabled (Service running -> reboot required)
d347bus -> Disabled (Service running -> reboot required)

-=E.O.F=-

und hier GMER:

Zitat:

GMER 2.0.18444 - hxxp://www.gmer.net
Rootkit scan 2013-01-18 22:36:02
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST3500320NS rev.SN06 465,76GB
Running: gmer.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\fflcqpod.sys

---- System - GMER 2.0 ----

SSDT B87D52E4 ZwClose
SSDT B87D529E ZwCreateKey
SSDT B87D52EE ZwCreateSection
SSDT B87D5294 ZwCreateThread
SSDT B87D52A3 ZwDeleteKey
SSDT B87D52AD ZwDeleteValueKey
SSDT B87D52DF ZwDuplicateObject
SSDT B87D52B2 ZwLoadKey
SSDT B87D5280 ZwOpenProcess
SSDT B87D5285 ZwOpenThread
SSDT B87D5307 ZwQueryValueKey
SSDT B87D52BC ZwReplaceKey
SSDT B87D52F8 ZwRequestWaitReplyPort
SSDT B87D52B7 ZwRestoreKey
SSDT B87D52F3 ZwSetContextThread
SSDT B87D52FD ZwSetSecurityObject
SSDT B87D52A8 ZwSetValueKey
SSDT B87D5302 ZwSystemDebugControl
SSDT B87D528F ZwTerminateProcess

---- Kernel code sections - GMER 2.0 ----

.xreloc C:\WINDOWS\system32\drivers\sfsync04.sys unknown last section [0xB7F66000, 0xC5E, 0x40000040]
.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xB3151000, 0x223937, 0xE8000020]

---- User code sections - GMER 2.0 ----

.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] ntdll.dll!NtCreateThread 7C91D1AE 4 Bytes [68, 06, 38, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] ntdll.dll!NtCreateThread + 5 7C91D1B3 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] ntdll.dll!LdrLoadDll + 1 7C925C36 3 Bytes [E1, 39, 94] {LOOPZ 0x3b; XCHG ESP, EAX}
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] ntdll.dll!LdrLoadDll + 5 7C925C3A 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 00943C4A; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 00943C09; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 0094FA02; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetDC 7E3686C7 4 Bytes [68, 84, F9, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetDC + 5 7E3686CC 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 0094A41D; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetWindowDC 7E369021 4 Bytes [68, C3, F9, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetWindowDC + 5 7E369026 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 0094002E; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 0094007E; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 0093FF8F; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 00946C08; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 00946CA2; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!OpenInputDesktop 7E36ECA3 4 Bytes [68, 96, 68, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!OpenInputDesktop + 5 7E36ECA8 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!SwitchDesktop 7E36FE6E 4 Bytes [68, E6, 68, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!SwitchDesktop + 5 7E36FE73 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 00946990; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 00940056; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 00946CF4; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 00946904; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!BeginPaint 7E378FE9 4 Bytes [68, 79, F8, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!BeginPaint + 5 7E378FEE 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!EndPaint 7E378FFD 4 Bytes JMP 413824FA
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!EndPaint + 5 7E379002 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 0093FE61; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 0093FE2F; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 00946B3A; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 009400A9; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 0094FA42; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 00946B83; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 0094694A; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!SetCapture 7E37C35E 4 Bytes [68, E5, FE, 93]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!SetCapture + 5 7E37C363 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 0093FF3F; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetDCEx 7E37C595 4 Bytes [68, 29, F9, 94]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetDCEx + 5 7E37C59A 1 Byte [C3]
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 00946C55; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 0094FAD5; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 00946A1C; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 00946AAE; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 0094A5CC; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 009469D6; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 00946A65; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 00946AF4; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 0093FEA8; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 00943CC7; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 00943CB0; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 0093F18C; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 0093F57B; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WS2_32.dll!send 71A14C27 6 Bytes PUSH 0093F5B3; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 0093F11C; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 0093F5D4; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 00951D51; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 00951AD6; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 00951678; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 009519A3; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 009516BC; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 00951634; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 00951AAA; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 00951936; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 00951711; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 009519D1; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 00951A50; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 00951803; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 00951766; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 009518A0; RET
.text C:\Anwendungen\Omnipage 15.0\Opware15.exe[372] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 009518EB; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] ntdll.dll!NtCreateThread 7C91D1AE 4 Bytes [68, 06, 38, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] ntdll.dll!NtCreateThread + 5 7C91D1B3 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] ntdll.dll!LdrLoadDll + 1 7C925C36 3 Bytes [E1, 39, AD] {LOOPZ 0x3b; LODSD }
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] ntdll.dll!LdrLoadDll + 5 7C925C3A 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 00AD3C4A; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 00AD3C09; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 00AD3CC7; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 00AD3CB0; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 00ADFA02; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetDC 7E3686C7 4 Bytes [68, 84, F9, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetDC + 5 7E3686CC 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 00ADA41D; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetWindowDC 7E369021 4 Bytes [68, C3, F9, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetWindowDC + 5 7E369026 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 00AD002E; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 00AD007E; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 00ACFF8F; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 00AD6C08; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 00AD6CA2; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!OpenInputDesktop 7E36ECA3 4 Bytes [68, 96, 68, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!OpenInputDesktop + 5 7E36ECA8 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!SwitchDesktop 7E36FE6E 4 Bytes [68, E6, 68, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!SwitchDesktop + 5 7E36FE73 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 00AD6990; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 00AD0056; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 00AD6CF4; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 00AD6904; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!BeginPaint 7E378FE9 4 Bytes [68, 79, F8, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!BeginPaint + 5 7E378FEE 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!EndPaint 7E378FFD 4 Bytes JMP 41383DFA
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!EndPaint + 5 7E379002 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 00ACFE61; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 00ACFE2F; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 00AD6B3A; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 00AD00A9; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 00ADFA42; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 00AD6B83; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 00AD694A; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!SetCapture 7E37C35E 4 Bytes [68, E5, FE, AC]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!SetCapture + 5 7E37C363 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 00ACFF3F; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetDCEx 7E37C595 4 Bytes [68, 29, F9, AD]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetDCEx + 5 7E37C59A 1 Byte [C3]
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 00AD6C55; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 00ADFAD5; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 00AD6A1C; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 00AD6AAE; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 00ADA5CC; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 00AD69D6; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 00AD6A65; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 00AD6AF4; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 00ACFEA8; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 00ACF18C; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 00ACF57B; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WS2_32.dll!send 71A14C27 6 Bytes PUSH 00ACF5B3; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 00ACF11C; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 00ACF5D4; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 00AE1D51; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 00AE1AD6; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 00AE1678; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 00AE19A3; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 00AE16BC; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 00AE1634; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 00AE1AAA; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 00AE1936; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 00AE1711; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 00AE19D1; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 00AE1A50; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 00AE1803; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 00AE1766; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 00AE18A0; RET
.text C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe[444] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 00AE18EB; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] ntdll.dll!NtCreateThread 7C91D1AE 6 Bytes PUSH 01013806; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] ntdll.dll!LdrLoadDll + 1 7C925C36 5 Bytes [E1, 39, 01, 01, C3] {LOOPZ 0x3b; ADD [ECX], EAX; RET }
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 01013C4A; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 01013C09; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 01013CC7; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 01013CB0; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 0101FA02; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetDC 7E3686C7 6 Bytes PUSH 0101F984; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 0101A41D; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetWindowDC 7E369021 6 Bytes PUSH 0101F9C3; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 0101002E; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 0101007E; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 0100FF8F; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 01016C08; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 01016CA2; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!OpenInputDesktop 7E36ECA3 6 Bytes PUSH 01016896; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!SwitchDesktop 7E36FE6E 6 Bytes PUSH 010168E6; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 01016990; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 01010056; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 01016CF4; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 01016904; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!BeginPaint 7E378FE9 6 Bytes PUSH 0101F879; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!EndPaint 7E378FFD 6 Bytes JMP 413891FA
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 0100FE61; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 0100FE2F; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 01016B3A; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 010100A9; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 0101FA42; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 01016B83; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 0101694A; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!SetCapture 7E37C35E 3 Bytes [68, E5, FE]
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!SetCapture + 4 7E37C362 2 Bytes [01, C3] {ADD EBX, EAX}
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 0100FF3F; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetDCEx 7E37C595 6 Bytes PUSH 0101F929; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 01016C55; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 0101FAD5; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 01016A1C; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 01016AAE; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 0101A5CC; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 010169D6; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 01016A65; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 01016AF4; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 0100FEA8; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 0100F18C; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 0100F57B; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WS2_32.dll!send 71A14C27 6 Bytes PUSH 0100F5B3; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 0100F11C; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 0100F5D4; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 01021D51; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 01021AD6; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 01021678; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 010219A3; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 010216BC; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 01021634; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 01021AAA; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 01021936; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 01021711; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 010219D1; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 01021A50; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 01021803; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 01021766; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 010218A0; RET
.text C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe[592] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 010218EB; RET
.text C:\WINDOWS\Explorer.EXE[1916] ntdll.dll!NtCreateThread 7C91D1AE 6 Bytes PUSH 025C3806; RET
.text C:\WINDOWS\Explorer.EXE[1916] ntdll.dll!LdrLoadDll + 1 7C925C36 5 Bytes [E1, 39, 5C, 02, C3] {LOOPZ 0x3b; POP ESP; ADD AL, BL}
.text C:\WINDOWS\Explorer.EXE[1916] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 025C3C4A; RET
.text C:\WINDOWS\Explorer.EXE[1916] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 025C3C09; RET
.text C:\WINDOWS\Explorer.EXE[1916] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 025C3CC7; RET
.text C:\WINDOWS\Explorer.EXE[1916] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 025C3CB0; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 025CFA02; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetDC 7E3686C7 6 Bytes PUSH 025CF984; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 025CA41D; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetWindowDC 7E369021 6 Bytes PUSH 025CF9C3; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 025C002E; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 025C007E; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 025BFF8F; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 025C6C08; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 025C6CA2; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!OpenInputDesktop 7E36ECA3 6 Bytes PUSH 025C6896; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!SwitchDesktop 7E36FE6E 6 Bytes PUSH 025C68E6; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 025C6990; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 025C0056; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 025C6CF4; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 025C6904; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!BeginPaint 7E378FE9 6 Bytes PUSH 025CF879; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!EndPaint 7E378FFD 6 Bytes JMP 4139ECFA
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 025BFE61; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 025BFE2F; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 025C6B3A; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 025C00A9; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 025CFA42; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 025C6B83; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 025C694A; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!SetCapture 7E37C35E 6 Bytes PUSH 025BFEE5; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 025BFF3F; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetDCEx 7E37C595 6 Bytes PUSH 025CF929; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 025C6C55; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 025CFAD5; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 025C6A1C; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 025C6AAE; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 025CA5CC; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 025C69D6; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 025C6A65; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 025C6AF4; RET
.text C:\WINDOWS\Explorer.EXE[1916] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 025BFEA8; RET
.text C:\WINDOWS\Explorer.EXE[1916] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 025D1D51; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 025D1AD6; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 025D1678; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 025D19A3; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 025D16BC; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 025D1634; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 025D1AAA; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 025D1936; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 025D1711; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 025D19D1; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 025D1A50; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 025D1803; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 025D1766; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 025D18A0; RET
.text C:\WINDOWS\Explorer.EXE[1916] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 025D18EB; RET
.text C:\WINDOWS\Explorer.EXE[1916] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 025BF18C; RET
.text C:\WINDOWS\Explorer.EXE[1916] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 025BF57B; RET
.text C:\WINDOWS\Explorer.EXE[1916] WS2_32.dll!send 71A14C27 6 Bytes PUSH 025BF5B3; RET
.text C:\WINDOWS\Explorer.EXE[1916] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 025BF11C; RET
.text C:\WINDOWS\Explorer.EXE[1916] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 025BF5D4; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] ntdll.dll!NtCreateThread 7C91D1AE 6 Bytes PUSH 036E3806; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] ntdll.dll!LdrLoadDll + 1 7C925C36 5 Bytes [E1, 39, 6E, 03, C3] {LOOPZ 0x3b; OUTS DX, BYTE [ESI]; ADD EAX, EBX}
.text C:\WINDOWS\RTHDCPL.EXE[2000] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 036E3C4A; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 036E3C09; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 036E3CC7; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 036E3CB0; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 036EFA02; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetDC 7E3686C7 6 Bytes PUSH 036EF984; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 036EA41D; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetWindowDC 7E369021 6 Bytes PUSH 036EF9C3; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 036E002E; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 036E007E; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 036DFF8F; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 036E6C08; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 036E6CA2; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!OpenInputDesktop 7E36ECA3 6 Bytes PUSH 036E6896; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!SwitchDesktop 7E36FE6E 6 Bytes PUSH 036E68E6; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 036E6990; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 036E0056; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 036E6CF4; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 036E6904; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!BeginPaint 7E378FE9 6 Bytes PUSH 036EF879; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!EndPaint 7E378FFD 6 Bytes JMP 413AFEFA
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 036DFE61; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 036DFE2F; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 036E6B3A; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 036E00A9; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 036EFA42; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 036E6B83; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 036E694A; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!SetCapture 7E37C35E 6 Bytes PUSH 036DFEE5; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 036DFF3F; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetDCEx 7E37C595 6 Bytes PUSH 036EF929; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 036E6C55; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 036EFAD5; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 036E6A1C; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 036E6AAE; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 036EA5CC; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 036E69D6; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 036E6A65; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 036E6AF4; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 036DFEA8; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 036F1D51; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 036DF18C; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 036DF57B; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WS2_32.dll!send 71A14C27 6 Bytes PUSH 036DF5B3; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 036DF11C; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 036DF5D4; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 036F1AD6; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 036F1678; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 036F19A3; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 036F16BC; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 036F1634; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 036F1AAA; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 036F1936; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 036F1711; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 036F19D1; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 036F1A50; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 036F1803; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 036F1766; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 036F18A0; RET
.text C:\WINDOWS\RTHDCPL.EXE[2000] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 036F18EB; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] ntdll.dll!NtCreateThread 7C91D1AE 4 Bytes [68, 06, 38, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] ntdll.dll!NtCreateThread + 5 7C91D1B3 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] ntdll.dll!LdrLoadDll + 1 7C925C36 3 Bytes [E1, 39, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] ntdll.dll!LdrLoadDll + 5 7C925C3A 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 00B43C4A; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 00B43C09; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 00B4FA02; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetDC 7E3686C7 4 Bytes [68, 84, F9, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetDC + 5 7E3686CC 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 00B4A41D; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetWindowDC 7E369021 4 Bytes [68, C3, F9, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetWindowDC + 5 7E369026 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 00B4002E; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 00B4007E; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 00B3FF8F; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 00B46C08; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 00B46CA2; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!OpenInputDesktop 7E36ECA3 4 Bytes [68, 96, 68, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!OpenInputDesktop + 5 7E36ECA8 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!SwitchDesktop 7E36FE6E 4 Bytes [68, E6, 68, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!SwitchDesktop + 5 7E36FE73 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 00B46990; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 00B40056; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 00B46CF4; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 00B46904; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!BeginPaint 7E378FE9 4 Bytes [68, 79, F8, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!BeginPaint + 5 7E378FEE 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!EndPaint 7E378FFD 4 Bytes JMP 413844FA
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!EndPaint + 5 7E379002 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 00B3FE61; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 00B3FE2F; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 00B46B3A; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 00B400A9; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 00B4FA42; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 00B46B83; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 00B4694A; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!SetCapture 7E37C35E 4 Bytes [68, E5, FE, B3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!SetCapture + 5 7E37C363 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 00B3FF3F; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetDCEx 7E37C595 4 Bytes [68, 29, F9, B4]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetDCEx + 5 7E37C59A 1 Byte [C3]
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 00B46C55; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 00B4FAD5; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 00B46A1C; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 00B46AAE; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 00B4A5CC; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 00B469D6; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 00B46A65; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 00B46AF4; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 00B3FEA8; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 00B43CC7; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 00B43CB0; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 00B51D51; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 00B3F18C; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 00B3F57B; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WS2_32.dll!send 71A14C27 6 Bytes PUSH 00B3F5B3; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 00B3F11C; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 00B3F5D4; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 00B51AD6; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 00B51678; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 00B519A3; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 00B516BC; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 00B51634; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 00B51AAA; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 00B51936; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 00B51711; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 00B519D1; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 00B51A50; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 00B51803; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 00B51766; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 00B518A0; RET
.text C:\WINDOWS\system32\rundll32.exe[2028] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 00B518EB; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] ntdll.dll!NtCreateThread 7C91D1AE 4 Bytes [68, 06, 38, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] ntdll.dll!NtCreateThread + 5 7C91D1B3 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] ntdll.dll!LdrLoadDll + 1 7C925C36 3 Bytes [E1, 39, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] ntdll.dll!LdrLoadDll + 5 7C925C3A 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] kernel32.dll!GetFileAttributesExW 7C811195 6 Bytes PUSH 00143C4A; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] kernel32.dll!ExitProcess 7C81CB12 6 Bytes PUSH 00143C09; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!ReleaseDC 7E36869D 6 Bytes PUSH 0014FA02; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetDC 7E3686C7 4 Bytes [68, 84, F9, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetDC + 5 7E3686CC 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!TranslateMessage 7E368BF6 6 Bytes PUSH 0014A41D; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetWindowDC 7E369021 4 Bytes [68, C3, F9, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetWindowDC + 5 7E369026 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetMessageW 7E3691C6 6 Bytes PUSH 0014002E; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!PeekMessageW 7E36929B 6 Bytes PUSH 0014007E; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetCapture 7E3694DA 6 Bytes PUSH 0013FF8F; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!RegisterClassW 7E36A39A 6 Bytes PUSH 00146C08; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!RegisterClassExW 7E36AF7F 6 Bytes PUSH 00146CA2; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!OpenInputDesktop 7E36ECA3 4 Bytes [68, 96, 68, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!OpenInputDesktop + 5 7E36ECA8 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!SwitchDesktop 7E36FE6E 4 Bytes [68, E6, 68, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!SwitchDesktop + 5 7E36FE73 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefDlgProcW 7E373D3A 6 Bytes PUSH 00146990; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetMessageA 7E37772B 6 Bytes PUSH 00140056; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!RegisterClassExA 7E377C39 6 Bytes PUSH 00146CF4; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefWindowProcW 7E378D20 6 Bytes PUSH 00146904; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!BeginPaint 7E378FE9 4 Bytes [68, 79, F8, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!BeginPaint + 5 7E378FEE 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!EndPaint 7E378FFD 4 Bytes JMP 4137A4FA
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!EndPaint + 5 7E379002 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetCursorPos 7E37974E 6 Bytes PUSH 0013FE61; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetMessagePos 7E37996C 6 Bytes PUSH 0013FE2F; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!CallWindowProcW 7E37A01E 6 Bytes PUSH 00146B3A; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!PeekMessageA 7E37A340 6 Bytes PUSH 001400A9; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetUpdateRect 7E37A8C9 6 Bytes PUSH 0014FA42; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!CallWindowProcA 7E37A97D 6 Bytes PUSH 00146B83; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefWindowProcA 7E37C17E 6 Bytes PUSH 0014694A; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!SetCapture 7E37C35E 4 Bytes [68, E5, FE, 13]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!SetCapture + 5 7E37C363 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!ReleaseCapture 7E37C37A 6 Bytes PUSH 0013FF3F; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetDCEx 7E37C595 4 Bytes [68, 29, F9, 14]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetDCEx + 5 7E37C59A 1 Byte [C3]
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!RegisterClassA 7E37EA5E 6 Bytes PUSH 00146C55; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetUpdateRgn 7E37F5EC 6 Bytes PUSH 0014FAD5; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefFrameProcW 7E380833 6 Bytes PUSH 00146A1C; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefMDIChildProcW 7E380A47 6 Bytes PUSH 00146AAE; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!GetClipboardData 7E380DBA 6 Bytes PUSH 0014A5CC; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefDlgProcA 7E38E577 6 Bytes PUSH 001469D6; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefFrameProcA 7E39F965 6 Bytes PUSH 00146A65; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!DefMDIChildProcA 7E39F9B4 6 Bytes PUSH 00146AF4; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] USER32.dll!SetCursorPos 7E3A61B3 6 Bytes PUSH 0013FEA8; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] ADVAPI32.dll!CreateProcessAsUserW 77DBA8A9 6 Bytes PUSH 00143CC7; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] ADVAPI32.dll!CreateProcessAsUserA 77DE0CE8 6 Bytes PUSH 00143CB0; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WS2_32.dll!getaddrinfo 71A12A6F 6 Bytes PUSH 0013F18C; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WS2_32.dll!closesocket 71A13E2B 6 Bytes PUSH 0013F57B; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WS2_32.dll!send 71A14C27 6 Bytes PUSH 0013F5B3; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WS2_32.dll!gethostbyname 71A15355 6 Bytes PUSH 0013F11C; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WS2_32.dll!WSASend 71A168FA 6 Bytes PUSH 0013F5D4; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] CRYPT32.dll!PFXImportCertStore 77AC017F 6 Bytes PUSH 00151D51; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpQueryInfoA 63017353 6 Bytes PUSH 00151AD6; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpOpenRequestA 630187BC 6 Bytes PUSH 00151678; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!InternetReadFile 6301AC9D 6 Bytes PUSH 001519A3; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpSendRequestW 6301F73E 6 Bytes PUSH 001516BC; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpOpenRequestW 6301F87B 6 Bytes PUSH 00151634; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!InternetQueryDataAvailable 6301FEB1 6 Bytes PUSH 00151AAA; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!InternetCloseHandle 63020A61 6 Bytes PUSH 00151936; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpSendRequestA 6302E822 6 Bytes PUSH 00151711; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!InternetReadFileExA 630337B6 6 Bytes PUSH 001519D1; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!InternetSetFilePointer 63075F79 6 Bytes PUSH 00151A50; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpSendRequestExA 6308A9EE 6 Bytes PUSH 00151803; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpSendRequestExW 6308AA47 6 Bytes PUSH 00151766; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpEndRequestA 6308AAF6 6 Bytes PUSH 001518A0; RET
.text C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe[3948] WININET.dll!HttpEndRequestW 6308AB28 6 Bytes PUSH 001518EB; RET

---- Registry - GMER 2.0 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001693000472
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001693000472@001370d99ab2 0x69 0xF3 0x07 0xE3 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001693000472@5c57c8262596 0x49 0xCD 0x07 0xD9 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001693000472 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001693000472@001370d99ab2 0x69 0xF3 0x07 0xE3 ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\001693000472@5c57c8262596 0x49 0xCD 0x07 0xD9 ...

---- EOF - GMER 2.0 ----

Gruß
Freddie

M-K-D-B · 19.01.2013, 16:03

Servus,

du bist in der Tat mit Zbot infiziert.

Bitte kein Online-Banking und keine Online-Geschäfte durchführen, bis wir mit der Bereinigung fertig sind!

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

freddie234 · 20.01.2013, 17:58

Hallo Matthias,
vielen herzlichen Dank soweit!
War fleißig und habe anebi das Combofix-Log. Nebenher habe ich noch zwei weitere Rechner, ich habe die Schritte "MB Antimalware", "OTL scan", "defogger" und "gmer" jeweils scannen lassen und wollte fragen, ob und wie ich Dir diese Logs auch posten darf?

Hier erst mal die Combofix-Log meines (bisher gescannten und behandelten) Hauptrechners:

Combofix Logfile:

Code:

ATTFilter

ComboFix 13-01-17.04 - Administrator 20.01.2013  14:06:16.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1547 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Camyl
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Camyl\cevoy.exe
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\inst.exe
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD4.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD5.tmp
c:\dokumente und einstellungen\All Users\Anwendungsdaten\xmlD6.tmp
c:\windows\daemon.dll
c:\windows\IsUn0407.exe
c:\windows\system\Color
c:\windows\system32\AF15BDAEX.dll
c:\windows\system32\SET1CA.tmp
c:\windows\system32\tmp9A.tmp
c:\windows\system32\tmp9B.tmp
c:\windows\system32\tmpF42.tmp
c:\windows\system32\tmpF43.tmp
c:\windows\unin0407.exe
c:\windows\wininit.ini
.
Infizierte Kopie von c:\windows\system32\ctfmon.exe wurde gefunden und desinfiziert 
Kopie von - c:\windows\system32\ctfmon.exe.backup wurde wiederhergestellt 
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-20 bis 2013-01-20  ))))))))))))))))))))))))))))))
.
.
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\windows\system32\wbem\snmp
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\windows\system32\xircom
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\windows\srchasst
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\programme\microsoft frontpage
2013-01-10 22:56 . 2013-01-10 22:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
2013-01-10 22:56 . 2013-01-18 19:22	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Cosah
2013-01-10 22:56 . 2013-01-10 22:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ubofty
2013-01-06 15:13 . 2013-01-06 15:13	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Brother
2013-01-03 13:42 . 1997-09-04 08:37	251664	----a-w-	c:\windows\system32\Msrd2x35.dll
2013-01-03 13:42 . 1999-03-24 01:06	1046288	------w-	c:\windows\system32\msjet35.dll
2013-01-03 13:42 . 1997-01-13 00:00	37136	----a-w-	c:\windows\system32\MSJINT35.DLL
2013-01-03 13:42 . 1996-12-02 18:44	24336	----a-w-	c:\windows\system32\MSJTER35.DLL
2012-12-23 00:57 . 2012-12-23 00:57	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-15 07:24 . 2012-12-01 17:28	134336	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-12-15 07:24 . 2012-12-01 17:28	83944	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-12-14 15:49 . 2010-09-21 21:34	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-12-02 17:48 . 2007-04-27 09:43	120200	----a-w-	c:\windows\system32\DLLDEV32i.dll
2012-12-02 13:49 . 2012-12-02 13:49	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-02 13:49 . 2012-12-02 13:49	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-11-28 10:22 . 2012-11-28 10:22	1409	----a-w-	c:\windows\QTFont.for
2012-11-16 19:17 . 2012-12-01 17:28	36552	----a-w-	c:\windows\system32\drivers\avkmgr.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"Opware15"="c:\anwendungen\Omnipage 15.0\Opware15.exe" [2005-09-26 69632]
"PDF3 Registry Controller"="c:\anwendungen\Omnipage 15.0\PDFConverter3\\RegistryController.exe" [2005-08-25 106496]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2011-09-22 395344]
"TrueImageMonitor.exe"="c:\anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe" [2011-09-22 5587832]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-12-15 384800]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{00CD55D6-EE5A-4570-9875-8A306628C032}\Icon3E5562ED7.ico [2009-2-6 6144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\Spiele\\FlatOut Ultimate Carnage\\Fouc.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Spiele\\COD4\\iw3mp.exe"=
"c:\\Anwendungen\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 fltsrv;Acronis Storage Filter Management;c:\windows\system32\drivers\fltsrv.sys [20.11.2011 01:53 76768]
R0 psecbdr;psecbdr;c:\windows\system32\drivers\psecbdr.sys [31.01.2009 14:28 17024]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05.07.2006 13:46 63352]
R0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\drivers\tdrpm273.sys [17.05.2011 01:34 752128]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [01.12.2012 18:28 36552]
R2 AAV UpdateService;AAV UpdateService;c:\anwendungen\AAVUpdateManager\aavus.exe [24.10.2008 16:35 128296]
R2 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [20.11.2011 01:22 3246040]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.12.2012 18:28 85280]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [24.05.2011 10:33 1840128]
R2 OS Selector;Acronis OS Selector Activator;c:\anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe [15.11.2011 18:44 2155848]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [20.11.2011 01:22 167968]
R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [10.11.2011 17:19 100368]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [07.05.2007 02:00 53632]
R3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [08.02.2009 20:06 537600]
R3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [15.02.2009 00:02 47360]
S1 DumpDrv;Crash Dump Driver;c:\windows\system32\drivers\dumpdrv.sys [16.06.2011 21:25 9472]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [08.02.2009 20:06 37568]
S3 cpuz;cpuz;\??\e:\downloads\Optimierung & Benchmark\cpuz.sys --> e:\downloads\Optimierung & Benchmark\cpuz.sys [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [26.04.2011 13:54 2702848]
S3 GigasetGenericUSB;GigasetGenericUSB;c:\windows\system32\drivers\GigasetGenericUSB.sys [04.04.2011 21:25 44032]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [06.06.2011 12:53 137600]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [06.06.2011 12:53 8576]
S3 RTL2832U_IRHID;HID Infrared Remote Receiver;c:\windows\system32\drivers\RTL2832U_IRHID.sys [25.08.2009 19:00 41120]
S3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [25.08.2009 19:00 74912]
S3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\drivers\RTL2832UUSB.sys [25.08.2009 19:00 32288]
S3 scsiscan;SCSI-Scannertreiber;c:\windows\system32\drivers\scsiscan.sys [31.01.2009 13:13 11520]
S4 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [01.02.2009 16:43 155136]
S4 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [01.02.2009 16:43 5248]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-03 11:55]
.
2013-01-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-03 11:55]
.
2011-09-22 c:\windows\Tasks\sd.job
- e:\admin\sd.bat [2009-03-04 22:06]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.ati.com/online/cccwelcome/deu/drivers.html
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: PDF in Word öffnen (PDF Converter 3.0) - c:\anwendungen\Omnipage 15.0\PDFConverter3\IEShellExt.dll /500
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\
FF - prefs.js: browser.startup.homepage - hxxps://signin.ebay.de/ws/eBayISAPI.dll?SignIn
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Ogylpaunli - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Camyl\cevoy.exe
HKLM-Run-OpScheduler - c:\anwendungen\Omnipage 15.0\OpScheduler.exe
HKU-Default-RunOnce-WUAppSetup - c:\programme\Gemeinsame Dateien\logishrd\WUApp32.exe
SafeBoot-WudfPf
SafeBoot-WudfRd
AddRemove-Arbeitszeit - c:\windows\Uninstall_tkexe -arbeitszeit
AddRemove-FotoLook3DeinstKey - c:\windows\unin0407.exe
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-20 14:15
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c2,8e,d0,d2,86,95,48,4c,90,c1,85,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c2,8e,d0,d2,86,95,48,4c,90,c1,85,\
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Spiele\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
   00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:fc,af,a3,53,51,6a,8a,9b,a0,a2,2a,95,7c,82,e1,2e,68,ce,a7,e4,ea,5d,71,
   02,49,0c,69,f8,74,f1,61,83,3b,75,d3,49,64,f8,62,74,a4,f2,14,19,53,08,73,7a,\
"??"=hex:8e,2d,86,cb,3c,9d,10,df,2a,93,2d,cc,dc,55,9c,a3
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\SecuROM\License information*]
"datasecu"=hex:a2,fe,bf,55,09,90,40,e0,6e,b1,67,a0,ae,d0,68,3c,17,f1,e5,83,72,
   0a,2a,c8,20,08,d2,e2,92,71,cf,7c,39,76,2c,7e,3e,0c,c7,3c,80,7b,e7,e0,f8,bf,\
"rkeysecu"=hex:4b,19,d8,12,31,d9,86,83,ae,3f,05,33,56,5a,ba,43
.
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(960)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3900)
c:\anwendungen\Omnipage 15.0\OpHook15.dll
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\anwendungen\VPN Client\cvpnd.exe
c:\windows\System32\DVDRAMSV.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\rundll32.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-20  14:18:19 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-01-20 13:18
.
Vor Suchlauf: 6 Verzeichnis(se), 33.217.757.184 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 33.781.792.768 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - 3B393AD6F51C09E03C8128581B3A9009

--- --- ---

Gruß Freddie

M-K-D-B · 20.01.2013, 19:35

Servus,

Zitat:

Zitat von freddie234

Nebenher habe ich noch zwei weitere Rechner, ich habe die Schritte "MB Antimalware", "OTL scan", "defogger" und "gmer" jeweils scannen lassen und wollte fragen, ob und wie ich Dir diese Logs auch posten darf?

Das kannst du machen, wenn wir diesen 1. Rechner komplett bereinigt haben, nicht vorher, da es sonst nur zu Verwirrungen kommt.

Wir können uns gerne einen Rechner nach dem anderen ansehen und ggf. bereinigen... eins nach dem anderen.

Wir bleiben bei dem Rechner, an dem du gerade ComboFix ausgeführt hast. Das machen wir jetzt gleich nochmal, nur mit folgendem Script:

Combofix-Skript

WARNUNG für die MITLESER:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link

Speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> notepad (hinein schreiben) --> OK
Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
ATTFilter
Folder::
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Cosah
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ubofty
         
Speichere dies als CFScript.txt auf deinem Desktop.

Wichtig: Stelle deine Anti Viren Software temporär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!

Schließe alle laufenden Programme damit ComboFix ungehindert arbeiten kann.

Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:

Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Wenn ComboFix fertig ist wird es ein Log erstellen: C:\ComboFix.txt
Bitte füge es hier als Antwort (in CODE-Tags mit dem #-Button des Editors) ein.
Hinweis:
Suspect:: und Collect::
Falls im Skript diese Anweisungen enthalten sind, sollen Dateien zur Analyse eingeschickt werden. Es erscheint eine Message-Box, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen. Teile mir unbedingt mit, ob der Upload geklappt hat!

freddie234 · 20.01.2013, 20:21

Alles klar, danke für den Hinweis! :-)

Hier die Combofix.txt mit dem Script:

Combofix Logfile:

Code:

ATTFilter

ComboFix 13-01-17.04 - Administrator 20.01.2013  20:08:12.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1407 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Cosah
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ubofty
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Ubofty\rywy.mao
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-12-20 bis 2013-01-20  ))))))))))))))))))))))))))))))
.
.
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\windows\system32\wbem\snmp
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\windows\system32\xircom
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\windows\srchasst
2013-01-20 13:15 . 2013-01-20 13:15	--------	d-----w-	c:\programme\microsoft frontpage
2013-01-10 22:56 . 2013-01-10 22:56	--------	d-----w-	c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
2013-01-06 15:13 . 2013-01-06 15:13	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Brother
2013-01-03 13:42 . 1997-09-04 08:37	251664	----a-w-	c:\windows\system32\Msrd2x35.dll
2013-01-03 13:42 . 1999-03-24 01:06	1046288	------w-	c:\windows\system32\msjet35.dll
2013-01-03 13:42 . 1997-01-13 00:00	37136	----a-w-	c:\windows\system32\MSJINT35.DLL
2013-01-03 13:42 . 1996-12-02 18:44	24336	----a-w-	c:\windows\system32\MSJTER35.DLL
2012-12-23 00:57 . 2012-12-23 00:57	--------	d-----r-	c:\dokumente und einstellungen\LocalService\Favoriten
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-15 07:24 . 2012-12-01 17:28	134336	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-12-15 07:24 . 2012-12-01 17:28	83944	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-12-14 15:49 . 2010-09-21 21:34	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-12-02 17:48 . 2007-04-27 09:43	120200	----a-w-	c:\windows\system32\DLLDEV32i.dll
2012-12-02 13:49 . 2012-12-02 13:49	73656	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-12-02 13:49 . 2012-12-02 13:49	697272	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-11-28 10:22 . 2012-11-28 10:22	1409	----a-w-	c:\windows\QTFont.for
2012-11-16 19:17 . 2012-12-01 17:28	36552	----a-w-	c:\windows\system32\drivers\avkmgr.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 16862720]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 155648]
"Opware15"="c:\anwendungen\Omnipage 15.0\Opware15.exe" [2005-09-26 69632]
"PDF3 Registry Controller"="c:\anwendungen\Omnipage 15.0\PDFConverter3\\RegistryController.exe" [2005-08-25 106496]
"Acronis Scheduler2 Service"="c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2011-09-22 395344]
"TrueImageMonitor.exe"="c:\anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe" [2011-09-22 5587832]
"ControlCenter3"="c:\programme\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-12-15 384800]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{00CD55D6-EE5A-4570-9875-8A306628C032}\Icon3E5562ED7.ico [2009-2-6 6144]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"e:\\Spiele\\FlatOut Ultimate Carnage\\Fouc.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"e:\\Spiele\\COD4\\iw3mp.exe"=
"c:\\Anwendungen\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"54925:UDP"= 54925:UDP:BrotherNetwork Scanner
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
.
R0 fltsrv;Acronis Storage Filter Management;c:\windows\system32\drivers\fltsrv.sys [20.11.2011 01:53 76768]
R0 psecbdr;psecbdr;c:\windows\system32\drivers\psecbdr.sys [31.01.2009 14:28 17024]
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05.07.2006 13:46 63352]
R0 tdrpman273;Acronis Try&Decide and Restore Points filter (build 273);c:\windows\system32\drivers\tdrpm273.sys [17.05.2011 01:34 752128]
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [01.12.2012 18:28 36552]
R2 AAV UpdateService;AAV UpdateService;c:\anwendungen\AAVUpdateManager\aavus.exe [24.10.2008 16:35 128296]
R2 afcdpsrv;Acronis Nonstop Backup-Dienst;c:\programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe [20.11.2011 01:22 3246040]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [01.12.2012 18:28 85280]
R2 Fabs;FABS - Helping agent for MAGIX media database;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe [24.05.2011 10:33 1840128]
R2 OS Selector;Acronis OS Selector Activator;c:\anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe [15.11.2011 18:44 2155848]
R3 afcdp;afcdp;c:\windows\system32\drivers\afcdp.sys [20.11.2011 01:22 167968]
R3 AtiHDAudioService;ATI Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdXP3.sys [10.11.2011 17:19 100368]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [07.05.2007 02:00 53632]
R3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [08.02.2009 20:06 537600]
R3 pcouffin;VSO Software pcouffin;c:\windows\system32\drivers\pcouffin.sys [15.02.2009 00:02 47360]
S1 DumpDrv;Crash Dump Driver;c:\windows\system32\drivers\dumpdrv.sys [16.06.2011 21:25 9472]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [08.02.2009 20:06 37568]
S3 cpuz;cpuz;\??\e:\downloads\Optimierung & Benchmark\cpuz.sys --> e:\downloads\Optimierung & Benchmark\cpuz.sys [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe [26.04.2011 13:54 2702848]
S3 GigasetGenericUSB;GigasetGenericUSB;c:\windows\system32\drivers\GigasetGenericUSB.sys [04.04.2011 21:25 44032]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [06.06.2011 12:53 137600]
S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [06.06.2011 12:53 8576]
S3 RTL2832U_IRHID;HID Infrared Remote Receiver;c:\windows\system32\drivers\RTL2832U_IRHID.sys [25.08.2009 19:00 41120]
S3 RTL2832UBDA;REALTEK 2832U BDA Driver;c:\windows\system32\drivers\RTL2832UBDA.sys [25.08.2009 19:00 74912]
S3 RTL2832UUSB;REALTEK 2832U USB Driver;c:\windows\system32\drivers\RTL2832UUSB.sys [25.08.2009 19:00 32288]
S3 scsiscan;SCSI-Scannertreiber;c:\windows\system32\drivers\scsiscan.sys [31.01.2009 13:13 11520]
S4 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [01.02.2009 16:43 155136]
S4 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [01.02.2009 16:43 5248]
.
Inhalt des "geplante Tasks" Ordners
.
2013-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-03 11:55]
.
2013-01-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2011-09-03 11:55]
.
2011-09-22 c:\windows\Tasks\sd.job
- e:\admin\sd.bat [2009-03-04 22:06]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://www.ati.com/online/cccwelcome/deu/drivers.html
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: PDF in Word öffnen (PDF Converter 3.0) - c:\anwendungen\Omnipage 15.0\PDFConverter3\IEShellExt.dll /500
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\
FF - prefs.js: browser.startup.homepage - hxxps://signin.ebay.de/ws/eBayISAPI.dll?SignIn
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-01-20 20:13
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c2,8e,d0,d2,86,95,48,4c,90,c1,85,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
   d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,c2,8e,d0,d2,86,95,48,4c,90,c1,85,\
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Spiele\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *T*i*b*e*r*i*u*m* *W*a*r*s*"!\Kundendienst]
"Order"=hex:08,00,00,00,02,00,00,00,b8,02,00,00,01,00,00,00,04,00,00,00,de,00,
   00,00,00,00,00,00,d0,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,be,00,32,\
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:fc,af,a3,53,51,6a,8a,9b,a0,a2,2a,95,7c,82,e1,2e,68,ce,a7,e4,ea,5d,71,
   02,49,0c,69,f8,74,f1,61,83,3b,75,d3,49,64,f8,62,74,a4,f2,14,19,53,08,73,7a,\
"??"=hex:8e,2d,86,cb,3c,9d,10,df,2a,93,2d,cc,dc,55,9c,a3
.
[HKEY_USERS\S-1-5-21-861567501-1336601894-1801674531-500\Software\SecuROM\License information*]
"datasecu"=hex:a2,fe,bf,55,09,90,40,e0,6e,b1,67,a0,ae,d0,68,3c,17,f1,e5,83,72,
   0a,2a,c8,20,08,d2,e2,92,71,cf,7c,39,76,2c,7e,3e,0c,c7,3c,80,7b,e7,e0,f8,bf,\
"rkeysecu"=hex:4b,19,d8,12,31,d9,86,83,ae,3f,05,33,56,5a,ba,43
.
[HKEY_LOCAL_MACHINE\software\DeterministicNetworks\DNE\Parameters]
"SymbolicLinkValue"=hex(6):5c,00,52,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,4d,00,41,00,43,00,48,00,49,00,4e,00,45,00,5c,00,53,00,79,00,73,00,\
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(960)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'explorer.exe'(3920)
c:\anwendungen\Omnipage 15.0\OpHook15.dll
c:\windows\system32\msi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\anwendungen\VPN Client\cvpnd.exe
c:\windows\System32\DVDRAMSV.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\RTHDCPL.EXE
c:\windows\system32\rundll32.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-01-20  20:15:58 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-01-20 19:15
ComboFix2.txt  2013-01-20 13:18
.
Vor Suchlauf: 6 Verzeichnis(se), 33.728.581.632 Bytes frei
Nach Suchlauf: 7 Verzeichnis(se), 33.712.033.792 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - A2B89AB6871F1EF248CD7DAA1ED97B05

--- --- ---

M-K-D-B · 21.01.2013, 17:30

Servus,

ok soweit.

Schritt 1
Starte bitte OTL.exe und drücke den Quick Scan Button.
Poste die OTL.txt hier in deinen Thread.

Schritt 2
Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

Doppelklicke auf die SystemLook.exe, um das Tool zu starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:
Code:
ATTFilter
```
:dir
c:\dokumente und einstellungen\Administrator\Anwendungsdaten
         
```
Klicke nun auf den Button Look, um den Scan zu starten.
Der Suchlauf wird einige Zeit dauern.
Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, poste diese in deinen Thread.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

Gibt es noch Probleme, die auf Malware hindeuten? Wenn ja, welche?

Bitte poste mit deiner nächsten Antwort

die Logdatei von OTL,
die Logdatei von SystemLook,
die Beantwortung der gestellten Fragen.

freddie234 · 22.01.2013, 18:12

Hi Matthias,
meinen Dank erneut! War einen Tag weg, sorry.

Hier die OTL.txt
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 22.01.2013 18:04:48 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,51 Gb Available Physical Memory | 75,44% Memory free
3,85 Gb Paging File | 3,42 Gb Available in Paging File | 89,04% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 31,43 Gb Free Space | 64,36% Space Free | Partition Type: NTFS
Drive D: | 48,83 Gb Total Space | 40,68 Gb Free Space | 83,30% Space Free | Partition Type: NTFS
Drive E: | 368,09 Gb Total Space | 14,99 Gb Free Space | 4,07% Space Free | Partition Type: NTFS
Drive P: | 185,54 Gb Total Space | 3,67 Gb Free Space | 1,98% Space Free | Partition Type: NTFS
 
Computer Name: K9-5050E | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.01.17 16:39:44 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
PRC - [2012.12.15 08:24:21 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.12.15 08:24:16 | 000,079,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.12.15 08:24:15 | 000,384,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.12.15 08:24:15 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.11.20 01:22:31 | 003,246,040 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
PRC - [2011.11.15 18:44:36 | 002,155,848 | ---- | M] () -- C:\Anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe
PRC - [2011.09.22 22:21:12 | 000,395,344 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
PRC - [2011.09.22 22:21:10 | 000,805,032 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2011.09.22 22:20:44 | 005,587,832 | ---- | M] (Acronis) -- C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe
PRC - [2011.05.24 10:33:30 | 001,840,128 | ---- | M] (MAGIX AG) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
PRC - [2009.01.27 22:12:11 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () -- C:\Anwendungen\AAVUpdateManager\aavus.exe
PRC - [2006.09.04 15:47:56 | 000,110,592 | ---- | M] (Matsushita Electric Industrial Co., Ltd.) -- C:\WINDOWS\system32\DVDRAMSV.exe
PRC - [2005.09.26 18:21:58 | 000,069,632 | ---- | M] (ScanSoft, Inc.) -- C:\Anwendungen\Omnipage 15.0\OpWare15.exe
PRC - [2005.08.12 17:37:50 | 001,504,256 | ---- | M] (Cisco Systems, Inc.) -- C:\Anwendungen\VPN Client\cvpnd.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.09.19 18:17:40 | 000,397,088 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2011.11.15 18:44:36 | 002,155,848 | ---- | M] () -- C:\Anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe
MOD - [2011.09.22 22:20:28 | 011,233,136 | ---- | M] () -- C:\Programme\Acronis\TrueImageHome\Common\ti_managers.dll
MOD - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () -- C:\Anwendungen\AAVUpdateManager\aavus.exe
MOD - [2002.11.26 12:43:18 | 000,106,496 | ---- | M] () -- C:\WINDOWS\system32\BrMuSNMP.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\ersvc.dll -- (ERSvc)
SRV - File not found [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2012.12.15 08:24:21 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.12.15 08:24:15 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.09.07 19:08:34 | 000,114,144 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2011.11.20 01:22:31 | 003,246,040 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe -- (afcdpsrv)
SRV - [2011.11.15 18:44:36 | 002,155,848 | ---- | M] () [Auto | Running] -- C:\Anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe -- (OS Selector)
SRV - [2011.09.22 22:21:10 | 000,805,032 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2011.06.07 20:29:16 | 000,630,272 | ---- | M] (FileZilla Project) [On_Demand | Stopped] -- C:\Anwendungen\FileZilla Server\FileZilla server.exe -- (FileZilla Server)
SRV - [2011.05.24 10:33:30 | 001,840,128 | ---- | M] (MAGIX AG) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2011.04.26 13:54:12 | 002,702,848 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2010.03.09 19:50:25 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () [Auto | Running] -- C:\Anwendungen\AAVUpdateManager\aavus.exe -- (AAV UpdateService)
SRV - [2007.12.10 12:59:04 | 000,353,280 | ---- | M] (Nokia.) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2006.10.26 13:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006.09.04 15:47:56 | 000,110,592 | ---- | M] (Matsushita Electric Industrial Co., Ltd.) [Auto | Running] -- C:\WINDOWS\system32\DVDRAMSV.exe -- (DVD-RAM_Service)
SRV - [2006.07.05 14:02:03 | 000,358,008 | ---- | M] (Protection Technology (StarForce)) [Auto | Stopped] -- C:\WINDOWS\System32\sfrem01.exe -- (sfrem01)
SRV - [2005.08.12 17:37:50 | 001,504,256 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Anwendungen\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfusb.sys -- (tosrfusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tosrfsnd.sys -- (TosRfSnd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfnds.sys -- (tosrfnds)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Tosrfhid.sys -- (Tosrfhid)
DRV - File not found [Kernel | System | Stopped] -- System32\Drivers\tosrfcom.sys -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfbd.sys -- (tosrfbd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosporte.sys -- (tosporte)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Anwendungen\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys -- (SANDRA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\LV302V32.SYS -- (PID_PEPI)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lv302af.sys -- (pepifilter)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\LVUSBSta.sys -- (LVUSBSta)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Downloads\Optimierung & Benchmark\cpuz.sys -- (cpuz)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV - [2012.12.15 08:24:22 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.12.15 08:24:22 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.11.16 20:17:15 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012.08.27 14:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2011.11.20 01:53:36 | 000,170,752 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\snapman.sys -- (snapman)
DRV - [2011.11.20 01:53:33 | 000,076,768 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\fltsrv.sys -- (fltsrv)
DRV - [2011.11.20 01:22:34 | 000,167,968 | ---- | M] (Acronis) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\afcdp.sys -- (afcdp)
DRV - [2011.11.20 01:22:28 | 000,752,128 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\tdrpm273.sys -- (tdrpman273)
DRV - [2011.11.20 01:22:27 | 000,600,928 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\timntr.sys -- (timounter)
DRV - [2011.08.08 21:58:38 | 000,100,368 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AtihdXP3.sys -- (AtiHDAudioService)
DRV - [2011.02.14 01:42:36 | 000,020,864 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbdiag.sys -- (UsbDiag)
DRV - [2011.02.14 01:42:34 | 000,025,216 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbmodem.sys -- (USBModem)
DRV - [2011.02.14 01:42:32 | 000,013,056 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbbus.sys -- (usbbus)
DRV - [2010.07.30 13:16:46 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2010.07.30 13:16:44 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2010.07.30 13:16:42 | 000,023,040 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2010.07.30 13:16:38 | 000,018,048 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2010.07.26 11:24:46 | 000,137,600 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdnsu.sys -- (nmwcdnsu)
DRV - [2010.07.26 11:24:42 | 000,008,576 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc)
DRV - [2009.12.30 17:54:33 | 000,017,480 | ---- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)
DRV - [2009.12.11 22:02:42 | 004,525,056 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009.07.16 17:19:32 | 000,009,472 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\dumpdrv.sys -- (DumpDrv)
DRV - [2009.03.05 10:02:36 | 000,041,120 | ---- | M] (Realtek) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2832U_IRHID.sys -- (RTL2832U_IRHID)
DRV - [2009.03.04 17:27:16 | 000,032,288 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2832UUSB.sys -- (RTL2832UUSB)
DRV - [2009.03.04 17:27:14 | 000,074,912 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2832UBDA.sys -- (RTL2832UBDA)
DRV - [2009.02.25 18:55:00 | 000,009,088 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Anwendungen\RivaTuner v2.24\RivaTuner32.sys -- (RivaTuner32)
DRV - [2009.02.20 17:09:16 | 000,044,032 | R--- | M] (Siemens Home and Office Communication Devices GmbH & Co. KG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\GigasetGenericUSB.sys -- (GigasetGenericUSB)
DRV - [2009.01.27 22:15:37 | 000,025,244 | ---- | M] (Adaptec) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aspi32.sys -- (Aspi32)
DRV - [2009.01.07 03:29:23 | 000,170,496 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\atinavt2.sys -- (ATIAVAIW)
DRV - [2008.05.20 10:53:00 | 004,800,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2008.04.29 09:00:00 | 000,288,896 | ---- | M] (Marvell) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp)
DRV - [2008.04.13 23:15:34 | 000,011,520 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\scsiscan.sys -- (scsiscan)
DRV - [2007.10.12 02:40:00 | 000,009,096 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\amdide.sys -- (amdide)
DRV - [2007.05.07 02:00:00 | 000,537,600 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2007.05.07 02:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2006.12.01 12:28:04 | 000,117,744 | ---- | M] (Matsushita Electric Industrial Co.,Ltd.) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\meiudf.sys -- (meiudf)
DRV - [2006.11.10 14:05:00 | 000,018,688 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\afc.sys -- (Afc)
DRV - [2006.09.06 15:08:30 | 000,017,024 | ---- | M] (Panasonic Shikoku Electronics Co., Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\psecbdr.sys -- (psecbdr)
DRV - [2006.08.11 14:47:13 | 000,059,776 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfsync04.sys -- (sfsync04)
DRV - [2006.07.05 13:46:06 | 000,063,352 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfdrv01a.sys -- (sfdrv01a)
DRV - [2006.06.14 15:56:56 | 000,013,680 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02)
DRV - [2005.09.16 05:47:36 | 000,089,808 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\slabser.sys -- (slabser)
DRV - [2005.09.16 05:47:36 | 000,055,312 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\slabbus.sys -- (slabbus)
DRV - [2005.08.12 17:35:56 | 000,305,739 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV - [2005.05.17 04:51:34 | 000,005,315 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2005.05.03 16:34:02 | 000,027,392 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys -- (ElbyCDFL)
DRV - [2005.01.26 05:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2004.11.03 12:07:24 | 000,146,888 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)
DRV - [2004.08.22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\d347prt.sys -- (d347prt)
DRV - [2004.08.22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\d347bus.sys -- (d347bus)
DRV - [2004.08.13 10:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2004.07.09 04:26:38 | 000,015,104 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2001.08.17 11:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
 
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
 
IE - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-861567501-1336601894-1801674531-500\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-861567501-1336601894-1801674531-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "https://signin.ebay.de/ws/eBayISAPI.dll?SignIn"
FF - prefs.js..extensions.enabledAddons: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.8
FF - prefs.js..extensions.enabledAddons: flvmoviesdownloader@rzll:1.43
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@gpac/osmozilla,version=1.0: C:\Anwendungen\GPAC\nposmozilla.dll ( )
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.0: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.4.0: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2105: C:\Anwendungen\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.2163: C:\Anwendungen\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1212: C:\Anwendungen\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.1: C:\Anwendungen\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: C:\Anwendungen\Mozilla Firefox\components [2012.12.01 17:50:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: C:\Anwendungen\Mozilla Firefox\plugins [2012.12.01 17:51:34 | 000,000,000 | ---D | M]
 
[2009.11.01 12:50:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2009.11.01 12:50:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\{92650c4d-4b8e-4d2a-b7eb-24ecf4f6b63a}
[2012.09.07 19:09:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\extensions
[2012.03.26 22:21:34 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2009.02.04 20:51:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Sunbird\Profiles\23ezmf2k.default\extensions
[2012.09.07 19:09:03 | 000,014,838 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\extensions\flvmoviesdownloader@rzll.xpi
 
O1 HOSTS File: ([2013.01.20 20:13:30 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [Opware15] C:\Anwendungen\Omnipage 15.0\Opware15.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [PDF3 Registry Controller] C:\Anwendungen\Omnipage 15.0\PDFConverter3\RegistryController.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe (Acronis)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{00CD55D6-EE5A-4570-9875-8A306628C032}\Icon3E5562ED7.ico ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 3.0) - C:\Anwendungen\Omnipage 15.0\PDFConverter3\IEShellExt.dll (ScanSoft, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O15 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: E:\Photos\Boris\Julie\IMG_0238_1280.bmp
O24 - Desktop BackupWallPaper: E:\Photos\Boris\Julie\IMG_0238_1280.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.06.02 13:01:01 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005.07.01 02:24:04 | 000,001,183 | ---- | M] () - E:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.20 20:16:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2013.01.20 20:06:35 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2013.01.20 19:19:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\Troj_netbook
[2013.01.20 14:15:27 | 000,000,000 | ---D | C] -- C:\Programme\xerox
[2013.01.20 14:15:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xircom
[2013.01.20 14:15:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\srchasst
[2013.01.20 14:15:26 | 000,000,000 | ---D | C] -- C:\Programme\movie maker
[2013.01.20 14:15:26 | 000,000,000 | ---D | C] -- C:\Programme\microsoft frontpage
[2013.01.20 13:13:07 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013.01.20 13:12:37 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.01.20 13:12:32 | 000,000,000 | R--D | C] -- D:\Eigene Dateien\Eigene Videos
[2013.01.20 13:12:32 | 000,000,000 | R--D | C] -- D:\Eigene Dateien\Eigene Musik
[2013.01.20 13:04:23 | 005,023,971 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2013.01.18 23:11:29 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2013.01.18 20:32:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\Trojanerboard
[2013.01.17 16:39:44 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2013.01.10 23:56:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
[2013.01.06 16:13:28 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Brother
[2013.01.06 15:31:35 | 000,000,000 | R--D | C] -- D:\Eigene Dateien\Eigene Bilder
[2013.01.06 14:57:47 | 000,000,000 | ---D | C] -- D:\Eigene Dateien\Downloads
[2012.12.28 23:55:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Steuertipps
[2009.02.15 00:02:04 | 000,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.sys
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.22 18:04:09 | 001,021,476 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.01.22 18:04:09 | 000,939,840 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.01.22 18:04:09 | 000,280,190 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.01.22 18:04:09 | 000,260,736 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.01.22 18:03:37 | 000,139,264 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\SystemLook.exe
[2013.01.22 17:59:56 | 000,002,305 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2013.01.22 17:59:53 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013.01.22 17:59:52 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.01.22 17:59:51 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.01.20 20:40:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013.01.20 20:13:30 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013.01.20 20:06:39 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2013.01.20 20:02:26 | 005,023,971 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2013.01.20 18:03:43 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2013.01.20 14:03:35 | 000,000,327 | ---- | M] () -- C:\Boot.bak
[2013.01.20 13:05:22 | 000,073,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.01.18 20:28:16 | 000,000,052 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2013.01.18 19:44:41 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe
[2013.01.17 16:49:40 | 000,000,441 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2013.01.17 16:39:44 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2013.01.17 16:31:17 | 000,000,759 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.07 08:02:04 | 000,365,568 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe
[2013.01.06 16:54:40 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar- Erklärung 2013.lnk
[2013.01.03 16:00:20 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel
[2012.12.29 00:11:59 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2012.lnk
[2012.12.28 23:55:22 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2011.lnk
[2012.12.28 12:54:32 | 000,334,664 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.01.22 18:03:37 | 000,139,264 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\SystemLook.exe
[2013.01.18 20:34:02 | 000,365,568 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe
[2013.01.18 20:28:09 | 000,000,052 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2013.01.18 19:44:40 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe
[2013.01.06 16:50:42 | 000,001,727 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar- Erklärung 2013.lnk
[2013.01.03 16:00:20 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel
[2012.12.28 23:55:22 | 000,001,727 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2011.lnk
[2012.12.02 20:17:15 | 000,000,046 | ---- | C] () -- C:\WINDOWS\Speed.INI
[2012.09.26 18:44:32 | 000,299,008 | ---- | C] () -- C:\WINDOWS\Uninstall_tkexe.exe
[2012.09.08 17:09:36 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2012.09.08 17:09:18 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf08b.dat
[2012.09.08 17:09:16 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2011.10.12 16:16:30 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\OpenVideo.dll
[2011.09.14 11:47:40 | 000,053,760 | ---- | C] () -- C:\WINDOWS\System32\OVDecode.dll
[2011.06.16 17:45:29 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.06.16 17:45:29 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.06.16 17:45:29 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.06.16 17:45:29 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.06.16 17:45:29 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.05.10 22:46:56 | 000,114,176 | ---- | C] () -- C:\WINDOWS\System32\HMPCab.dll
[2011.02.05 20:47:28 | 000,000,012 | ---- | C] () -- C:\WINDOWS\B2.INI
[2010.01.19 21:21:29 | 000,000,406 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2009.03.16 00:34:12 | 000,073,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.02.20 22:41:10 | 001,211,072 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009.02.15 00:02:04 | 000,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.cat
[2009.02.15 00:02:04 | 000,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.inf
[2009.02.07 21:22:07 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
 
========== ZeroAccess Check ==========
 
[2009.01.31 09:42:24 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2011.09.05 14:54:40 | 001,510,400 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 11:54:48 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 06:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.02.18 17:45:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.minecraft
[2011.09.16 08:50:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ACD Systems
[2011.11.20 01:26:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Acronis
[2011.01.06 19:36:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AnvSoft
[2009.05.28 20:07:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Artisteer
[2011.05.13 01:04:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\avidemux
[2010.01.26 17:12:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
[2009.09.04 17:33:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DasTelefonbuch Deutschland
[2011.10.17 20:40:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox
[2009.05.01 17:39:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDFab
[2012.10.15 23:23:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoft
[2011.11.12 03:40:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Electronic Arts
[2010.03.21 14:58:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\EndNote
[2012.09.09 11:06:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FLV Extract
[2013.01.07 22:17:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\foobar2000
[2012.08.14 22:14:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FRITZ!
[2012.08.14 22:21:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FRITZ!fax für FRITZ!Box
[2012.12.03 19:06:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
[2009.02.17 20:06:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Leadertech
[2011.06.10 19:22:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LogView
[2012.12.02 18:53:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MAGIX
[2012.08.27 09:58:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mobile Master
[2011.06.06 15:15:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nokia
[2009.01.31 11:50:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
[2010.09.10 19:08:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Outertech
[2012.08.27 09:37:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Suite
[2010.11.06 13:59:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PhotoScape
[2011.11.23 00:08:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ProtectDisc
[2009.06.29 12:43:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rockbox.org
[2010.01.19 21:13:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ScanSoft
[2009.06.15 17:34:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\streamripper
[2009.10.25 14:44:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\thecleaner
[2009.02.16 20:11:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Tobit
[2010.11.30 18:49:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Toshiba
[2009.09.04 17:33:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TVG
[2012.12.27 20:31:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ulead Systems
[2012.11.15 21:41:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Vso
[2011.03.06 03:55:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WinFellow
[2010.01.23 15:05:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Zeon
[2013.01.16 17:45:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
[2009.02.01 16:53:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
[2011.10.18 20:10:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2012.12.01 18:12:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software
[2011.04.04 21:11:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cached Installations
[2009.08.25 19:23:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CMUV
[2012.09.09 09:53:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codemasters
[2011.04.04 21:26:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gigaset QuickSync
[2011.06.06 12:51:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2012.12.27 20:16:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InterVideo
[2012.08.14 22:21:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2012.12.02 23:03:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2011.12.14 23:24:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MTA San Andreas All
[2011.06.06 13:14:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2010.01.19 21:21:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2012.11.28 23:59:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
[2010.03.21 22:33:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Thomson.ResearchSoft.Installers
[2010.11.06 18:31:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2009.05.10 14:26:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2009.02.15 00:25:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vsosdk
[2010.01.19 21:21:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zeon
 
========== Purity Check ==========
 
 

< End of report >

--- --- ---

Und hier die Systemlook.txt

Zitat:

SystemLook 30.07.11 by jpshortstuff
Log created at 18:09 on 22/01/2013 by Administrator
Administrator - Elevation successful

========== dir ==========

c:\dokumente und einstellungen\Administrator\Anwendungsdaten - Parameters: "(none)"

---Files---
desktop.ini --ahs-- 62 bytes [08:02 31/01/2009] [21:14 30/01/2009]
pcouffin.cat --a---- 7887 bytes [23:02 14/02/2009] [20:19 23/01/2012]
pcouffin.inf --a---- 1144 bytes [23:02 14/02/2009] [20:19 23/01/2012]
pcouffin.log --a---- 34 bytes [23:02 14/02/2009] [20:19 23/01/2012]
pcouffin.sys --a---- 47360 bytes [23:02 14/02/2009] [20:19 23/01/2012]
PnkBstrK.sys --a---- 22328 bytes [20:22 07/02/2009] [20:22 07/02/2009]

---Folders---
.minecraft d------ [16:45 18/02/2011]
AccurateRip d------ [14:42 28/02/2009]
ACD Systems d------ [15:54 01/02/2009]
Acronis d------ [00:32 17/05/2011]
Adobe d------ [10:36 31/01/2009]
AnvSoft d------ [18:36 06/01/2011]
ArcSoft d------ [19:22 25/08/2009]
Artisteer d------ [19:07 28/05/2009]
ATI d------ [08:47 31/01/2009]
avidemux d------ [00:03 13/05/2011]
Avira d------ [17:34 01/12/2012]
Brother dr----- [21:32 26/04/2010]
Command & Conquer 3 Tiberium Wars d------ [16:12 26/01/2010]
CyberLink d------ [13:38 01/02/2009]
DasTelefonbuch Deutschland d------ [16:33 04/09/2009]
Download Manager d------ [18:59 22/09/2011]
Dropbox d------ [19:40 26/02/2011]
dvdcss d------ [11:07 29/10/2011]
DVDFab d------ [23:05 14/02/2009]
DVDVideoSoft d------ [19:48 26/03/2012]
Electronic Arts d------ [02:40 12/11/2011]
EndNote d------ [21:52 16/03/2009]
FLV Extract d------ [10:02 09/09/2012]
foobar2000 d------ [14:39 09/11/2011]
FRITZ! d------ [19:13 08/02/2009]
FRITZ!fax für FRITZ!Box d------ [21:21 14/08/2012]
Google d------ [11:57 03/09/2011]
gtk-2.0 d------ [16:31 15/02/2009]
Hamachi d------ [16:54 30/12/2009]
Help d------ [00:39 15/05/2011]
Identities d------ [08:03 31/01/2009]
InstallShield d------ [21:52 04/02/2009]
Leadertech d------ [19:06 17/02/2009]
LogView d------ [20:50 16/03/2009]
Macromedia d------ [10:36 31/01/2009]
MAGIX d------ [17:53 02/12/2012]
Malwarebytes d------ [14:53 15/02/2009]
Media Player Classic d------ [14:08 01/02/2009]
Microsoft d---s-- [08:02 31/01/2009]
Mobile Master d------ [20:19 14/02/2009]
Mozilla d------ [09:42 31/01/2009]
Nokia d------ [11:57 06/06/2011]
OpenOffice.org d------ [10:50 31/01/2009]
Outertech d------ [18:08 10/09/2010]
PC Suite d------ [16:25 11/01/2010]
PhotoScape d------ [12:55 06/11/2010]
ProtectDisc d------ [00:23 15/11/2011]
Real d------ [15:33 01/02/2009]
rockbox.org d------ [11:43 29/06/2009]
ScanSoft d------ [20:13 19/01/2010]
SecuROM dr-h--- [16:36 07/03/2009]
Skype d------ [14:29 07/06/2009]
skypePM d------ [14:38 07/06/2009]
streamripper d------ [16:34 15/06/2009]
Sun d------ [10:40 31/01/2009]
Talkback d------ [19:51 04/02/2009]
thecleaner d------ [13:44 25/10/2009]
Tobit d------ [18:46 16/02/2009]
Toshiba d------ [21:48 16/04/2009]
TVG d------ [16:33 04/09/2009]
Ulead Systems d------ [13:26 10/05/2009]
vlc d------ [22:05 10/06/2010]
Vso d------ [23:02 14/02/2009]
WinFellow d------ [02:45 06/03/2011]
WinRAR d------ [09:30 31/01/2009]
Zeon d------ [14:05 23/01/2010]

-= EOF =-

Der Systemlook-Scan hat wider Erwarten nur wenige Sekunden gedauert, ist das okay?

Bislang hatte ich keine weiteren Anzeichen auf Malware. Mein Online-Banking habe ich aber bislang auch nicht mehr genutzt, wie befohlen :-)

Gruß
Freddie

M-K-D-B · 22.01.2013, 19:36

Servus Freddie,

du machst das sehr gut.

wir kontrollieren nochmal alles:

Schritt 1

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

ATTFilter

:Commands
[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Starte Malwarebytes' Anti-Malware, klicke auf Aktualisierung --> Suche nach Aktualisierung
Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Schritt 3

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4
Downloade Dir bitte SecurityCheck von einem der folgenden Links:
LINK1 LINK2

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste mit deiner nächsten Antwort

die Logdatei von OTL,
die Logdatei von MBAM,
die Logdatei von ESET,
die Logdatei von SecurityCheck.

freddie234 · 23.01.2013, 17:50

Hallo Matthias,
habe alles gemacht, ESET hat scheinbar noch etwas gefunden, eins in Quarantäne und fünf im System_Volume_restore...aber sieh selbst:

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 22.01.2013 18:04:48 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,51 Gb Available Physical Memory | 75,44% Memory free
3,85 Gb Paging File | 3,42 Gb Available in Paging File | 89,04% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 31,43 Gb Free Space | 64,36% Space Free | Partition Type: NTFS
Drive D: | 48,83 Gb Total Space | 40,68 Gb Free Space | 83,30% Space Free | Partition Type: NTFS
Drive E: | 368,09 Gb Total Space | 14,99 Gb Free Space | 4,07% Space Free | Partition Type: NTFS
Drive P: | 185,54 Gb Total Space | 3,67 Gb Free Space | 1,98% Space Free | Partition Type: NTFS
 
Computer Name: K9-5050E | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.01.17 16:39:44 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
PRC - [2012.12.15 08:24:21 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.12.15 08:24:16 | 000,079,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.12.15 08:24:15 | 000,384,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.12.15 08:24:15 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.11.20 01:22:31 | 003,246,040 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
PRC - [2011.11.15 18:44:36 | 002,155,848 | ---- | M] () -- C:\Anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe
PRC - [2011.09.22 22:21:12 | 000,395,344 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
PRC - [2011.09.22 22:21:10 | 000,805,032 | ---- | M] (Acronis) -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
PRC - [2011.09.22 22:20:44 | 005,587,832 | ---- | M] (Acronis) -- C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe
PRC - [2011.05.24 10:33:30 | 001,840,128 | ---- | M] (MAGIX AG) -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe
PRC - [2009.01.27 22:12:11 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () -- C:\Anwendungen\AAVUpdateManager\aavus.exe
PRC - [2006.09.04 15:47:56 | 000,110,592 | ---- | M] (Matsushita Electric Industrial Co., Ltd.) -- C:\WINDOWS\system32\DVDRAMSV.exe
PRC - [2005.09.26 18:21:58 | 000,069,632 | ---- | M] (ScanSoft, Inc.) -- C:\Anwendungen\Omnipage 15.0\OpWare15.exe
PRC - [2005.08.12 17:37:50 | 001,504,256 | ---- | M] (Cisco Systems, Inc.) -- C:\Anwendungen\VPN Client\cvpnd.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.09.19 18:17:40 | 000,397,088 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2011.11.15 18:44:36 | 002,155,848 | ---- | M] () -- C:\Anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe
MOD - [2011.09.22 22:20:28 | 011,233,136 | ---- | M] () -- C:\Programme\Acronis\TrueImageHome\Common\ti_managers.dll
MOD - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () -- C:\Anwendungen\AAVUpdateManager\aavus.exe
MOD - [2002.11.26 12:43:18 | 000,106,496 | ---- | M] () -- C:\WINDOWS\system32\BrMuSNMP.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- %SystemRoot%\System32\ersvc.dll -- (ERSvc)
SRV - File not found [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2012.12.15 08:24:21 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.12.15 08:24:15 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.09.07 19:08:34 | 000,114,144 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2011.11.20 01:22:31 | 003,246,040 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe -- (afcdpsrv)
SRV - [2011.11.15 18:44:36 | 002,155,848 | ---- | M] () [Auto | Running] -- C:\Anwendungen\Acronis Disk Director 11\OSS\reinstall_svc.exe -- (OS Selector)
SRV - [2011.09.22 22:21:10 | 000,805,032 | ---- | M] (Acronis) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2011.06.07 20:29:16 | 000,630,272 | ---- | M] (FileZilla Project) [On_Demand | Stopped] -- C:\Anwendungen\FileZilla Server\FileZilla server.exe -- (FileZilla Server)
SRV - [2011.05.24 10:33:30 | 001,840,128 | ---- | M] (MAGIX AG) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\FABS.exe -- (Fabs)
SRV - [2011.04.26 13:54:12 | 002,702,848 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\MAGIX Services\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2010.03.09 19:50:25 | 000,654,848 | ---- | M] (Macrovision Europe Ltd.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2008.10.24 16:35:44 | 000,128,296 | ---- | M] () [Auto | Running] -- C:\Anwendungen\AAVUpdateManager\aavus.exe -- (AAV UpdateService)
SRV - [2007.12.10 12:59:04 | 000,353,280 | ---- | M] (Nokia.) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2006.10.26 13:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006.09.04 15:47:56 | 000,110,592 | ---- | M] (Matsushita Electric Industrial Co., Ltd.) [Auto | Running] -- C:\WINDOWS\system32\DVDRAMSV.exe -- (DVD-RAM_Service)
SRV - [2006.07.05 14:02:03 | 000,358,008 | ---- | M] (Protection Technology (StarForce)) [Auto | Stopped] -- C:\WINDOWS\System32\sfrem01.exe -- (sfrem01)
SRV - [2005.08.12 17:37:50 | 001,504,256 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Anwendungen\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfusb.sys -- (tosrfusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tosrfsnd.sys -- (TosRfSnd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfnds.sys -- (tosrfnds)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Tosrfhid.sys -- (Tosrfhid)
DRV - File not found [Kernel | System | Stopped] -- System32\Drivers\tosrfcom.sys -- (Tosrfcom)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosrfbd.sys -- (tosrfbd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\tosporte.sys -- (tosporte)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Anwendungen\SiSoftware Sandra Lite 2009.SP2\WNt500x86\Sandra.sys -- (SANDRA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\LV302V32.SYS -- (PID_PEPI)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\lv302af.sys -- (pepifilter)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pccsmcfd.sys -- (pccsmcfd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\LVUSBSta.sys -- (LVUSBSta)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Downloads\Optimierung & Benchmark\cpuz.sys -- (cpuz)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\AtiHdmi.sys -- (AtiHdmiService)
DRV - [2012.12.15 08:24:22 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.12.15 08:24:22 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.11.16 20:17:15 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012.08.27 14:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2011.11.20 01:53:36 | 000,170,752 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\snapman.sys -- (snapman)
DRV - [2011.11.20 01:53:33 | 000,076,768 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\fltsrv.sys -- (fltsrv)
DRV - [2011.11.20 01:22:34 | 000,167,968 | ---- | M] (Acronis) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\afcdp.sys -- (afcdp)
DRV - [2011.11.20 01:22:28 | 000,752,128 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\tdrpm273.sys -- (tdrpman273)
DRV - [2011.11.20 01:22:27 | 000,600,928 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\timntr.sys -- (timounter)
DRV - [2011.08.08 21:58:38 | 000,100,368 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AtihdXP3.sys -- (AtiHDAudioService)
DRV - [2011.02.14 01:42:36 | 000,020,864 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbdiag.sys -- (UsbDiag)
DRV - [2011.02.14 01:42:34 | 000,025,216 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbmodem.sys -- (USBModem)
DRV - [2011.02.14 01:42:32 | 000,013,056 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbbus.sys -- (usbbus)
DRV - [2010.07.30 13:16:46 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2010.07.30 13:16:44 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2010.07.30 13:16:42 | 000,023,040 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2010.07.30 13:16:38 | 000,018,048 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2010.07.26 11:24:46 | 000,137,600 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdnsu.sys -- (nmwcdnsu)
DRV - [2010.07.26 11:24:42 | 000,008,576 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmwcdnsuc.sys -- (nmwcdnsuc)
DRV - [2009.12.30 17:54:33 | 000,017,480 | ---- | M] (LogMeIn, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\hamachi.sys -- (hamachi)
DRV - [2009.12.11 22:02:42 | 004,525,056 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2009.07.16 17:19:32 | 000,009,472 | ---- | M] (Microsoft Corporation) [Kernel | System | Stopped] -- C:\WINDOWS\System32\drivers\dumpdrv.sys -- (DumpDrv)
DRV - [2009.03.05 10:02:36 | 000,041,120 | ---- | M] (Realtek) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2832U_IRHID.sys -- (RTL2832U_IRHID)
DRV - [2009.03.04 17:27:16 | 000,032,288 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2832UUSB.sys -- (RTL2832UUSB)
DRV - [2009.03.04 17:27:14 | 000,074,912 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RTL2832UBDA.sys -- (RTL2832UBDA)
DRV - [2009.02.25 18:55:00 | 000,009,088 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Anwendungen\RivaTuner v2.24\RivaTuner32.sys -- (RivaTuner32)
DRV - [2009.02.20 17:09:16 | 000,044,032 | R--- | M] (Siemens Home and Office Communication Devices GmbH & Co. KG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\GigasetGenericUSB.sys -- (GigasetGenericUSB)
DRV - [2009.01.27 22:15:37 | 000,025,244 | ---- | M] (Adaptec) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aspi32.sys -- (Aspi32)
DRV - [2009.01.07 03:29:23 | 000,170,496 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\atinavt2.sys -- (ATIAVAIW)
DRV - [2008.05.20 10:53:00 | 004,800,000 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2008.04.29 09:00:00 | 000,288,896 | ---- | M] (Marvell) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\yk51x86.sys -- (yukonwxp)
DRV - [2008.04.13 23:15:34 | 000,011,520 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\scsiscan.sys -- (scsiscan)
DRV - [2007.10.12 02:40:00 | 000,009,096 | ---- | M] (Advanced Micro Devices) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\amdide.sys -- (amdide)
DRV - [2007.05.07 02:00:00 | 000,537,600 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2007.05.07 02:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2006.12.01 12:28:04 | 000,117,744 | ---- | M] (Matsushita Electric Industrial Co.,Ltd.) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\meiudf.sys -- (meiudf)
DRV - [2006.11.10 14:05:00 | 000,018,688 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\afc.sys -- (Afc)
DRV - [2006.09.06 15:08:30 | 000,017,024 | ---- | M] (Panasonic Shikoku Electronics Co., Ltd.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\psecbdr.sys -- (psecbdr)
DRV - [2006.08.11 14:47:13 | 000,059,776 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfsync04.sys -- (sfsync04)
DRV - [2006.07.05 13:46:06 | 000,063,352 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfdrv01a.sys -- (sfdrv01a)
DRV - [2006.06.14 15:56:56 | 000,013,680 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02)
DRV - [2005.09.16 05:47:36 | 000,089,808 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\slabser.sys -- (slabser)
DRV - [2005.09.16 05:47:36 | 000,055,312 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\slabbus.sys -- (slabbus)
DRV - [2005.08.12 17:35:56 | 000,305,739 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV - [2005.05.17 04:51:34 | 000,005,315 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2005.05.03 16:34:02 | 000,027,392 | ---- | M] (SlySoft, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ElbyCDFL.sys -- (ElbyCDFL)
DRV - [2005.01.26 05:22:20 | 000,280,344 | ---- | M] (Zone Labs LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2004.11.03 12:07:24 | 000,146,888 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)
DRV - [2004.08.22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\d347prt.sys -- (d347prt)
DRV - [2004.08.22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\d347bus.sys -- (d347bus)
DRV - [2004.08.13 10:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2004.07.09 04:26:38 | 000,015,104 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2001.08.17 11:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
 
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
 
IE - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-861567501-1336601894-1801674531-500\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-861567501-1336601894-1801674531-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-861567501-1336601894-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "https://signin.ebay.de/ws/eBayISAPI.dll?SignIn"
FF - prefs.js..extensions.enabledAddons: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.8
FF - prefs.js..extensions.enabledAddons: flvmoviesdownloader@rzll:1.43
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@gpac/osmozilla,version=1.0: C:\Anwendungen\GPAC\nposmozilla.dll ( )
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.0: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.4.0: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2105: C:\Anwendungen\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.2163: C:\Anwendungen\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1212: C:\Anwendungen\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.1: C:\Anwendungen\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Components: C:\Anwendungen\Mozilla Firefox\components [2012.12.01 17:50:46 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 15.0.1\extensions\\Plugins: C:\Anwendungen\Mozilla Firefox\plugins [2012.12.01 17:51:34 | 000,000,000 | ---D | M]
 
[2009.11.01 12:50:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2009.11.01 12:50:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions\{92650c4d-4b8e-4d2a-b7eb-24ecf4f6b63a}
[2012.09.07 19:09:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\extensions
[2012.03.26 22:21:34 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2009.02.04 20:51:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Sunbird\Profiles\23ezmf2k.default\extensions
[2012.09.07 19:09:03 | 000,014,838 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\i25n43ak.default\extensions\flvmoviesdownloader@rzll.xpi
 
O1 HOSTS File: ([2013.01.20 20:13:30 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [BluetoothAuthenticationAgent] C:\WINDOWS\System32\bthprops.cpl (Microsoft Corporation)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [Opware15] C:\Anwendungen\Omnipage 15.0\Opware15.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [PDF3 Registry Controller] C:\Anwendungen\Omnipage 15.0\PDFConverter3\RegistryController.exe (ScanSoft, Inc.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Anwendungen\Acronis TrueImage 2011\TrueImageMonitor.exe (Acronis)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{00CD55D6-EE5A-4570-9875-8A306628C032}\Icon3E5562ED7.ico ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveSearch = 1
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoStartMenuPinnedList = 1
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 0
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: PDF in Word öffnen (PDF Converter 3.0) - C:\Anwendungen\Omnipage 15.0\PDFConverter3\IEShellExt.dll (ScanSoft, Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O15 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKU\S-1-5-21-861567501-1336601894-1801674531-500\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: E:\Photos\Boris\Julie\IMG_0238_1280.bmp
O24 - Desktop BackupWallPaper: E:\Photos\Boris\Julie\IMG_0238_1280.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011.06.02 13:01:01 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2005.07.01 02:24:04 | 000,001,183 | ---- | M] () - E:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.20 20:16:00 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2013.01.20 20:06:35 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2013.01.20 19:19:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\Troj_netbook
[2013.01.20 14:15:27 | 000,000,000 | ---D | C] -- C:\Programme\xerox
[2013.01.20 14:15:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xircom
[2013.01.20 14:15:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\srchasst
[2013.01.20 14:15:26 | 000,000,000 | ---D | C] -- C:\Programme\movie maker
[2013.01.20 14:15:26 | 000,000,000 | ---D | C] -- C:\Programme\microsoft frontpage
[2013.01.20 13:13:07 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013.01.20 13:12:37 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.01.20 13:12:32 | 000,000,000 | R--D | C] -- D:\Eigene Dateien\Eigene Videos
[2013.01.20 13:12:32 | 000,000,000 | R--D | C] -- D:\Eigene Dateien\Eigene Musik
[2013.01.20 13:04:23 | 005,023,971 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2013.01.18 23:11:29 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator\Recent
[2013.01.18 20:32:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\Trojanerboard
[2013.01.17 16:39:44 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2013.01.10 23:56:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
[2013.01.06 16:13:28 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Brother
[2013.01.06 15:31:35 | 000,000,000 | R--D | C] -- D:\Eigene Dateien\Eigene Bilder
[2013.01.06 14:57:47 | 000,000,000 | ---D | C] -- D:\Eigene Dateien\Downloads
[2012.12.28 23:55:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Steuertipps
[2009.02.15 00:02:04 | 000,047,360 | ---- | C] (VSO Software) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.sys
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.22 18:04:09 | 001,021,476 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.01.22 18:04:09 | 000,939,840 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.01.22 18:04:09 | 000,280,190 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.01.22 18:04:09 | 000,260,736 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.01.22 18:03:37 | 000,139,264 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\SystemLook.exe
[2013.01.22 17:59:56 | 000,002,305 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2013.01.22 17:59:53 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013.01.22 17:59:52 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.01.22 17:59:51 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.01.20 20:40:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013.01.20 20:13:30 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013.01.20 20:06:39 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2013.01.20 20:02:26 | 005,023,971 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2013.01.20 18:03:43 | 000,000,116 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2013.01.20 14:03:35 | 000,000,327 | ---- | M] () -- C:\Boot.bak
[2013.01.20 13:05:22 | 000,073,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.01.18 20:28:16 | 000,000,052 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2013.01.18 19:44:41 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe
[2013.01.17 16:49:40 | 000,000,441 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2013.01.17 16:39:44 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2013.01.17 16:31:17 | 000,000,759 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.07 08:02:04 | 000,365,568 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe
[2013.01.06 16:54:40 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar- Erklärung 2013.lnk
[2013.01.03 16:00:20 | 000,001,495 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel
[2012.12.29 00:11:59 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2012.lnk
[2012.12.28 23:55:22 | 000,001,727 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2011.lnk
[2012.12.28 12:54:32 | 000,334,664 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.01.22 18:03:37 | 000,139,264 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\SystemLook.exe
[2013.01.18 20:34:02 | 000,365,568 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\gmer.exe
[2013.01.18 20:28:09 | 000,000,052 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2013.01.18 19:44:40 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Defogger.exe
[2013.01.06 16:50:42 | 000,001,727 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar- Erklärung 2013.lnk
[2013.01.03 16:00:20 | 000,001,495 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\.recently-used.xbel
[2012.12.28 23:55:22 | 000,001,727 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Steuer-Spar-Erklärung 2011.lnk
[2012.12.02 20:17:15 | 000,000,046 | ---- | C] () -- C:\WINDOWS\Speed.INI
[2012.09.26 18:44:32 | 000,299,008 | ---- | C] () -- C:\WINDOWS\Uninstall_tkexe.exe
[2012.09.08 17:09:36 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2012.09.08 17:09:18 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf08b.dat
[2012.09.08 17:09:16 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2011.10.12 16:16:30 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\OpenVideo.dll
[2011.09.14 11:47:40 | 000,053,760 | ---- | C] () -- C:\WINDOWS\System32\OVDecode.dll
[2011.06.16 17:45:29 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.06.16 17:45:29 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.06.16 17:45:29 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.06.16 17:45:29 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.06.16 17:45:29 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.05.10 22:46:56 | 000,114,176 | ---- | C] () -- C:\WINDOWS\System32\HMPCab.dll
[2011.02.05 20:47:28 | 000,000,012 | ---- | C] () -- C:\WINDOWS\B2.INI
[2010.01.19 21:21:29 | 000,000,406 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2009.03.16 00:34:12 | 000,073,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.02.20 22:41:10 | 001,211,072 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009.02.15 00:02:04 | 000,007,887 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.cat
[2009.02.15 00:02:04 | 000,001,144 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.inf
[2009.02.07 21:22:07 | 000,022,328 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
 
========== ZeroAccess Check ==========
 
[2009.01.31 09:42:24 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2011.09.05 14:54:40 | 001,510,400 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 11:54:48 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 06:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.02.18 17:45:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.minecraft
[2011.09.16 08:50:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ACD Systems
[2011.11.20 01:26:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Acronis
[2011.01.06 19:36:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AnvSoft
[2009.05.28 20:07:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Artisteer
[2011.05.13 01:04:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\avidemux
[2010.01.26 17:12:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
[2009.09.04 17:33:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DasTelefonbuch Deutschland
[2011.10.17 20:40:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox
[2009.05.01 17:39:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDFab
[2012.10.15 23:23:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoft
[2011.11.12 03:40:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Electronic Arts
[2010.03.21 14:58:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\EndNote
[2012.09.09 11:06:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FLV Extract
[2013.01.07 22:17:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\foobar2000
[2012.08.14 22:14:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FRITZ!
[2012.08.14 22:21:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FRITZ!fax für FRITZ!Box
[2012.12.03 19:06:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\gtk-2.0
[2009.02.17 20:06:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Leadertech
[2011.06.10 19:22:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\LogView
[2012.12.02 18:53:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\MAGIX
[2012.08.27 09:58:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mobile Master
[2011.06.06 15:15:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nokia
[2009.01.31 11:50:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
[2010.09.10 19:08:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Outertech
[2012.08.27 09:37:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PC Suite
[2010.11.06 13:59:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PhotoScape
[2011.11.23 00:08:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ProtectDisc
[2009.06.29 12:43:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rockbox.org
[2010.01.19 21:13:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ScanSoft
[2009.06.15 17:34:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\streamripper
[2009.10.25 14:44:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\thecleaner
[2009.02.16 20:11:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Tobit
[2010.11.30 18:49:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Toshiba
[2009.09.04 17:33:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TVG
[2012.12.27 20:31:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ulead Systems
[2012.11.15 21:41:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Vso
[2011.03.06 03:55:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\WinFellow
[2010.01.23 15:05:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Zeon
[2013.01.16 17:45:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AAV
[2009.02.01 16:53:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
[2011.10.18 20:10:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2012.12.01 18:12:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software
[2011.04.04 21:11:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Cached Installations
[2009.08.25 19:23:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CMUV
[2012.09.09 09:53:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Codemasters
[2011.04.04 21:26:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gigaset QuickSync
[2011.06.06 12:51:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
[2012.12.27 20:16:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InterVideo
[2012.08.14 22:21:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2012.12.02 23:03:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2011.12.14 23:24:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MTA San Andreas All
[2011.06.06 13:14:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2010.01.19 21:21:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2012.11.28 23:59:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
[2010.03.21 22:33:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Thomson.ResearchSoft.Installers
[2010.11.06 18:31:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmp
[2009.05.10 14:26:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2009.02.15 00:25:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vsosdk
[2010.01.19 21:21:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\zeon
 
========== Purity Check ==========
 
 

< End of report >

--- --- ---

Zitat:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.22.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Administrator :: K9-5050E [Administrator]

22.01.2013 20:01:03
mbam-log-2013-01-22 (20-01-03).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 236122
Laufzeit: 3 Minute(n), 28 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Zitat:

ESETSmartInstaller@High as downloader log:
all ok
ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=1
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6889
# api_version=3.0.2
# EOSSerial=9e817034d96d854b86f15fa5a3e073f4
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-01-23 12:54:33
# local_time=2013-01-23 01:54:33 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1799 16775165 100 97 198664 224325763 191432 0
# scanned=324184
# found=6
# cleaned=0
# scan_time=20307
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Camyl\cevoy.exe.vir Win32/Spy.Zbot.AAO trojan CE7298685BC3BF8873FC8DE3D3EBCD7A1B4235D8 I
C:\System Volume Information\_restore{9CDCC80F-D3B7-49C6-974F-0843A0731D80}\RP302\A0067018.exe a variant of Win32/Kryptik.ASFX trojan D08406692E576C206DA074E074B701657422680C I
C:\System Volume Information\_restore{9CDCC80F-D3B7-49C6-974F-0843A0731D80}\RP305\A0067193.exe a variant of Win32/Kryptik.ASHV trojan 05CD90643AB4D89731A3EFD18B3020DA25724414 I
C:\System Volume Information\_restore{9CDCC80F-D3B7-49C6-974F-0843A0731D80}\RP305\A0067202.exe Win32/Spy.Zbot.AAO trojan 257A07359692783B95E066D717352F2DCDF61B03 I
C:\System Volume Information\_restore{9CDCC80F-D3B7-49C6-974F-0843A0731D80}\RP307\A0067384.exe Win32/Spy.Zbot.AAO trojan AEFF805E518A53645E6D3E4E5F57ACD8910F35A5 I
C:\System Volume Information\_restore{9CDCC80F-D3B7-49C6-974F-0843A0731D80}\RP308\A0067600.exe Win32/Spy.Zbot.AAO trojan CE7298685BC3BF8873FC8DE3D3EBCD7A1B4235D8 I

Zitat:

Results of screen317's Security Check version 0.99.57
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date! (On Access scanning disabled!)
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.70.0.1100
CCleaner
Java(TM) 7 Update 4
Java version out of Date!
Adobe Flash Player 11.5.502.110
Mozilla Firefox 15.0.1 Firefox out of Date!
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

und mittlerweile hat sich Firefox upgedatet, daher nochmal checkup.txt aktuell:

Zitat:

Results of screen317's Security Check version 0.99.57
Windows XP Service Pack 3 x86
Internet Explorer 8
``````````````Antivirus/Firewall Check:``````````````
Avira Desktop
Antivirus up to date!
`````````Anti-malware/Other Utilities Check:`````````
Malwarebytes Anti-Malware Version 1.70.0.1100
CCleaner
Java(TM) 7 Update 4
Java version out of Date!
Adobe Flash Player 11.5.502.110
Mozilla Firefox (18.0.1)
````````Process Check: objlist.exe by Laurent````````
Avira Antivir avgnt.exe
Avira Antivir avguard.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C::
````````````````````End of Log``````````````````````

M-K-D-B · 23.01.2013, 18:03

Servus,

die Funde von ESET befinden sich in der Quarantäne von ComboFix und in der Systemwiederherstellung.
Mit den abschließenden Schritten werden die Schädlinge von dort entfernt, also keine Sorge.

Schritt 1
Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier:
Java Download (32 bit)
Speichere die Datei auf deinem Desktop.
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die Datei. Diese wird die neueste Java Version ( Java 7 Update 11 ) installieren.
Entferne den Haken bei "Installieren Sie die Ask-Toolbar ..." während der Installation.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Haken gesetzt ist und klicke OK.
Klicke erneut OK.

schneller Plugin-Test: PluginCheck

Schritt 2
Deine Version von Adobe Flash Player ist veraltet.
Bitte folge diesen Schritte, um Adobe Flash zu aktualisieren:

Bitte besuche diese Seite von Adobe.
Wähle dein Betriebssystem und deinen Internetbrowser ("Internet Explorer" oder "other" für Firefox zum Beispiel)
Deaktiviere gegebenenfalls den Haken vor Google Chrome bzw. McAfee Security Scan.
Installiere die neuste Version auf deinem Computer.

Schritt 3
Starte DeFogger und klicke auf Re-enable.
Gegebenenfalls muss dein Rechner neu gestartet werden.

Schritt 4
Bitte vor der folgenden Aktion wieder temporär Antivirus-Programm, evtl. vorhandenes Skript-Blocking und Anti-Malware Programme deaktivieren.

Windows-Taste + R drücke. Kopiere nun folgende Zeile in die Kommandozeile und klicke OK.

Code:

ATTFilter

Combofix /Uninstall

Damit wird Combofix komplett entfernt und der Cache der Systemwiederherstellung geleert, damit auch aus dieser die Schädlinge verschwinden.

Nun die eben deaktivierten Programme wieder aktivieren.

Schritt 5
Downloade dir bitte delfix auf deinen Desktop.

Schließe alle offenen Programme.
Starte die delfix.exe mit einem Doppelklick.
Setze vor jede Funktion ein Häkchen.
Klicke auf Start.
DelFix entfernt u. a. alle verwendeten Programme und löscht sich abschließend selbst.
Sollten noch Programme, die wir verwendet haben, vorhanden sein, so lösche diese bitte per Hand.

Schritt 6
Hier noch ein paar Tipps zur Absicherung deines Systems.

Ich kann garnicht zu oft erwähnen, wie wichtig es ist, dass dein System Up to Date ist.

Bitte überprüfe ob dein System Windows Updates automatisch herunter lädt
Windows Updates
- Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
- Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren
Gehe sicher das die automatischen Updates aktiviert sind.
Software Updates
Installierte Software kann ebenfalls Sicherheitslücken haben, welche Malware nutzen kann, um dein System zu infizieren.
Um deine Installierte Software up to date zu halten, empfehle ich dir Secunia Online Software.

Anti- Viren Software

Gehe sicher immer eine Anti Viren Software installiert zu haben und das diese auch up to date ist. Es ist nämlich nutzlos wenn diese out of date sind.

Zusätzlicher Schutz

MalwareBytes Anti Malware
Dies ist eines der besten Anti-Malware Tools auf dem Markt. Es ist ein On- Demond Scan Tool welches viele aktuelle Malware erkennt und auch entfernt.
Update das Tool und lass es einmal in der Woche laufen. Die Kaufversion biete zudem noch einen Hintergrundwächter.
Ein Tutorial zur Verwendung findest Du hier.
WinPatrol
Diese Software macht einen Snapshot deines Systems und warnt dich vor eventuellen Änderungen. Downloade dir die Freeware Version von hier.

Sicheres Browsen

SpywareBlaster
Eine kurze Einführung findest du Hier
MVPs hosts file
Ein Tutorial findest Du hier. Leider habe ich bis jetzt kein deutschsprachiges gefunden.
WOT (Web of trust)
Dieses AddOn warnt Dich bevor Du eine als schädlich gemeldete Seite besuchst.

Alternative Browser

Andere Browser tendieren zu etwas mehr Sicherheit als der IE, da diese keine Active X Elemente verwenden. Diese können von Spyware zur Infektion deines Systems missbraucht werden.

Opera
Mozilla Firefox.
- Hinweis: Für diesen Browser habe ich hier ein paar nützliche Add Ons
- NoScript
  Dieses AddOn blockt JavaScript, Java and Flash und andere Plugins. Sie werden nur dann ausgeführt wenn Du es bestätigst.
- AdblockPlus
  Dieses AddOn blockt die meisten Werbung von selbst. Ein Rechtsklick auf den Banner um diesen zu AdBlockPlus hinzu zu fügen reicht und dieser wird nicht mehr geladen.
  Es spart ausserdem Downloadkapazität.

Performance
Bereinige regelmäßig deine Temp Files. Ich empfehle hierzu TFC
Halte dich fern von jedlichen Registry Cleanern.
Diese Schaden deinem System mehr als sie helfen. Hier ein paar ( englishe ) Links
Miekemoes Blogspot ( MVP )
Bill Castner ( MVP )

Don'ts

Klicke nicht auf alles, nur weil es Dich dazu auffordert und schön bunt ist.
Verwende keine peer to peer oder Filesharing Software (Emule, uTorrent,..)
Lass die Finger von Cracks, Keygens, Serials oder anderer illegaler Software.
Öffne keine Anhänge von Dir nicht bekannten Emails. Achte vor allem auf die Dateiendung wie zb deinFoto.jpg.exe.

Nun bleibt mir nur noch dir viel Spass beim sicheren Surfen zu wünschen.

Hinweis: Bitte gib mir eine kurze Rückmeldung wenn alles erledigt ist und keine Fragen mehr vorhanden sind, so dass ich dieses Thema aus meinen Abos löschen kann.

freddie234 · 23.01.2013, 20:09

WOW ich bin überwältigt!

Alles erledigt.
Bin ich jetzt auf dem Rechner wieder "clean"?

Vielen herzlichen Dank für Deine unglaubliche Hilfe lieber Matthias und die wertvollen Tipps!!!!!!

Ich traue mich schon kaum zu fragen:
Hättest Du Lust, jetzt noch unser Netbook und abschließend den HTPC mit mir anzuschauen?

Wenn ja, was soll ich dazu tun? Wieder erst mal OTL, MBAM, Defogger, GMER?

Viele Grüße

M-K-D-B · 24.01.2013, 19:36

Servus,

Zitat:

Zitat von freddie234

WOW ich bin überwältigt!

Alles erledigt.
Bin ich jetzt auf dem Rechner wieder "clean"?

Vielen herzlichen Dank für Deine unglaubliche Hilfe lieber Matthias und die wertvollen Tipps!!!!!!

Es freut mich, dass ich helfen konnte.

Zitat:

Zitat von freddie234

Ich traue mich schon kaum zu fragen:
Hättest Du Lust, jetzt noch unser Netbook und abschließend den HTPC mit mir anzuschauen?

Können wir von mir aus schon machen.

Wir beginnen bitte mit dem Netbook.

Führe auf dem Netbook bitte OTL, DeFogger und GMER aus und poste die Logdateien:

Schritt 1
Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop (falls noch nicht vorhanden).

Starte bitte die OTL.exe.
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Standard Ausgabe.
Setze einen Haken bei Scanne alle Benutzer.
Unter Extra Registry, wähle bitte Use SafeList.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

ATTFilter

activex
netsvcs
msconfig
drivers32
safebootminimal
safebootnetwork
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

Schließe bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Scan Button.
Am Ende des Suchlaufs werden 2 Logdateien erstellt.
Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2
Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Klicke nun auf den Disable Button, um die Treiber gewisser Emulatoren zu deaktivieren.
Defogger wird dich fragen "Defogger will forcefully terminate and disable all CD Emulator related drivers and processes... Continue?" bestätige diese Sicherheitsabfrage mit Ja.
Wenn der Scan beendet wurde (Finished), klicke auf OK.
Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt. Poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 3
Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
nichts am Rechner arbeiten,
nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt[/B] auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Bitte poste mit deiner nächsten Antwort

die beiden Logdateien von OTL,
die Logdatei von DeFogger,
die Logdatei von GMER.

freddie234 · 27.01.2013, 17:22

Hi Matthias,
vielen Dank für die Bereitschaft, mir weiterhin zu helfen!
Hier die Logs des Netbooks:

OTL:
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 27.01.2013 14:19:31 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Julie\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1013,02 Mb Total Physical Memory | 684,13 Mb Available Physical Memory | 67,53% Memory free
2,38 Gb Paging File | 2,06 Gb Available in Paging File | 86,45% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 36,12 Gb Free Space | 73,98% Space Free | Partition Type: NTFS
Drive D: | 184,05 Gb Total Space | 150,51 Gb Free Space | 81,78% Space Free | Partition Type: NTFS
 
Computer Name: NETBOOK | User Name: Julie | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.01.17 16:39:44 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Julie\Desktop\OTL.exe
PRC - [2012.12.11 21:04:51 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.12.11 21:04:43 | 000,079,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.12.11 21:04:42 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.12.11 21:04:41 | 000,384,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.12.29 00:59:16 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2009.04.03 09:21:48 | 001,040,384 | ---- | M] (Promethean Technologies Group Ltd) -- C:\Programme\Activ Software\Activdriver\ActivControl2.exe
PRC - [2009.03.13 11:55:36 | 000,299,008 | ---- | M] () -- C:\Programme\Activ Software\Activdriver\ActivMgr.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.01.27 13:00:22 | 000,077,824 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Activ Software\ActivApplications\ActivFocusHook.dll
MOD - [2012.09.19 18:17:40 | 000,397,088 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2009.03.13 11:55:36 | 000,299,008 | ---- | M] () -- C:\Programme\Activ Software\Activdriver\ActivMgr.exe
MOD - [2009.01.20 11:02:38 | 000,199,168 | ---- | M] () -- C:\WINDOWS\libactivboardex.dll
MOD - [2009.01.20 11:02:30 | 000,073,216 | ---- | M] () -- C:\Programme\Activ Software\Activdriver\prmnst.dll
MOD - [2008.10.31 15:29:26 | 007,106,560 | ---- | M] () -- C:\Programme\Activ Software\Activdriver\QtGui4.dll
MOD - [2008.10.03 10:03:54 | 000,561,152 | ---- | M] () -- C:\Programme\Activ Software\Activdriver\QtNetwork4.dll
MOD - [2008.10.03 10:02:28 | 001,978,368 | ---- | M] () -- C:\Programme\Activ Software\Activdriver\QtCore4.dll
MOD - [2002.11.26 13:43:18 | 000,106,496 | ---- | M] () -- C:\WINDOWS\system32\BrMuSNMP.dll
MOD - [2001.10.28 16:42:30 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\pdfcmnnt.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2013.01.20 19:41:34 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.12.11 21:04:51 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.12.11 21:04:42 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.10.02 17:35:53 | 000,161,736 | ---- | M] (Oracle Corporation) [On_Demand | Stopped] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2007.08.24 03:19:12 | 000,443,776 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (DumpDrv)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2012.12.11 21:04:53 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.12.11 21:04:53 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.11.16 20:17:15 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012.08.27 14:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2011.12.29 00:59:00 | 000,025,244 | ---- | M] (Adaptec) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\aspi32.sys -- (Aspi32)
DRV - [2010.08.09 10:59:54 | 000,082,384 | ---- | M] (ENE Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\EUCR6SK.sys -- (EUCR)
DRV - [2010.04.22 14:45:40 | 000,061,040 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\l1c51x86.sys -- (L1c)
DRV - [2010.03.26 16:48:20 | 000,043,232 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\AthDfu.sys -- (AthDfu)
DRV - [2010.03.13 05:41:22 | 005,867,040 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2010.01.05 08:54:48 | 001,602,856 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)
DRV - [2009.12.08 19:19:12 | 000,114,432 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbnet.sys -- (ewusbnet)
DRV - [2009.12.07 18:53:12 | 000,102,912 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2009.11.18 07:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 07:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2009.10.12 14:21:54 | 000,100,736 | ---- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbdev.sys -- (hwusbdev)
DRV - [2008.12.17 09:42:30 | 000,058,240 | ---- | M] (Promethean Technologies Ltd) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ACTIVhidmini.sys -- (ACTIVhidmini)
DRV - [2008.12.17 09:42:26 | 000,004,352 | ---- | M] (Promethean Technologies Ltd) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\activmouse.sys -- (prmvmouse)
DRV - [2008.12.17 09:42:16 | 000,055,424 | ---- | M] (Promethean Technologies Ltd) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\activhidsermini.sys -- (ActivHidSerMini)
DRV - [2008.11.19 16:09:10 | 000,024,832 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbmodem.sys -- (USBModem)
DRV - [2008.11.19 16:09:08 | 000,019,968 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbdiag.sys -- (UsbDiag)
DRV - [2008.11.19 16:09:08 | 000,013,056 | ---- | M] (LG Electronics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lgusbbus.sys -- (usbbus)
DRV - [2004.08.22 16:31:48 | 000,005,248 | ---- | M] ( ) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\d347prt.sys -- (d347prt)
DRV - [2004.08.22 16:31:10 | 000,155,136 | ---- | M] ( ) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\d347bus.sys -- (d347bus)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-299502267-1767777339-515967899-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKU\S-1-5-21-299502267-1767777339-515967899-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "www.zeit.de"
FF - prefs.js..extensions.enabledAddons: %7Bb9db16a4-6edc-47ec-a1f4-b86292ed211d%7D:4.9.8
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:18.0.1
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.4.0: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.4.0: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\wrc@avast.com: C:\Programme\AVAST Software\Avast\WebRep\FF
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.01.20 19:41:35 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2012.11.21 23:09:51 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2012.01.05 20:58:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Julie\Anwendungsdaten\Mozilla\Extensions
[2012.01.23 21:27:55 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Julie\Anwendungsdaten\Mozilla\Firefox\Profiles\xr9g1cs5.default\extensions
[2012.01.23 21:27:55 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Dokumente und Einstellungen\Julie\Anwendungsdaten\Mozilla\Firefox\Profiles\xr9g1cs5.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2013.01.20 19:41:20 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.01.20 19:41:35 | 000,262,552 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.11.21 23:10:04 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.11.21 23:10:04 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.11.21 23:10:04 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.11.21 23:10:04 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.11.21 23:10:04 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.11.21 23:10:04 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.11.11 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [ActivControl] C:\Programme\Activ Software\Activdriver\ActivControl2.exe (Promethean Technologies Group Ltd)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [AzMixerSel] C:\Programme\Realtek\Audio\Drivers\AzMixerSel.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ControlCenter3] C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableStatusMessages = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: VerboseStatus = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O7 - HKU\S-1-5-21-299502267-1767777339-515967899-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-299502267-1767777339-515967899-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMConfigurePrograms = 1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D8695B77-0FF5-4B03-B8EA-57A645761F0E}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.01.01 20:59:34 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{20413fc4-9202-11e1-a00c-78e400768762}\Shell - "" = AutoRun
O33 - MountPoints2\{20413fc4-9202-11e1-a00c-78e400768762}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{20413fc4-9202-11e1-a00c-78e400768762}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{20413fc7-9202-11e1-a00c-78e400768762}\Shell - "" = AutoRun
O33 - MountPoints2\{20413fc7-9202-11e1-a00c-78e400768762}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{20413fc7-9202-11e1-a00c-78e400768762}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{3668f672-986d-11e1-a010-78e400768762}\Shell - "" = AutoRun
O33 - MountPoints2\{3668f672-986d-11e1-a010-78e400768762}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3668f672-986d-11e1-a010-78e400768762}\Shell\AutoRun\command - "" = E:\LGAutoRun.exe
O33 - MountPoints2\{e5fb3f2e-9948-11e1-a011-78e400768762}\Shell - "" = AutoRun
O33 - MountPoints2\{e5fb3f2e-9948-11e1-a011-78e400768762}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{e5fb3f2e-9948-11e1-a011-78e400768762}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{f4130367-433b-11e1-9faa-78e400768762}\Shell - "" = AutoRun
O33 - MountPoints2\{f4130367-433b-11e1-9faa-78e400768762}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{f4130367-433b-11e1-9faa-78e400768762}\Shell\AutoRun\command - "" = E:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: Microsoft Base Smart Card Crypto Provider Package - 
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
Drivers32: msacm.ac3acm - C:\WINDOWS\System32\ac3acm.acm (fccHandler)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.lameacm - C:\WINDOWS\System32\lameACM.acm (hxxp://www.mp3dev.org/)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: VIDC.FFDS - C:\WINDOWS\System32\ff_vfw.dll ()
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: vidc.tscc - C:\WINDOWS\System32\tsccvid.dll (TechSmith Corporation)
Drivers32: VIDC.XVID - C:\WINDOWS\System32\xvidvfw.dll ()
Drivers32: VIDC.YV12 - C:\WINDOWS\System32\xvidvfw.dll ()
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.20 19:41:19 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2013.01.20 14:13:58 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Julie\Desktop\OTL.exe
[2013.01.20 14:13:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julie\Desktop\Trojanerboard
[2013.01.17 17:30:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Julie\Anwendungsdaten\Malwarebytes
[2013.01.17 17:30:28 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.01.17 17:30:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.01.17 17:30:25 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.01.17 17:30:25 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.01.04 10:56:43 | 000,000,000 | ---D | C] -- D:\Eigene Dateien\Oma
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.27 14:16:09 | 000,000,473 | ---- | M] () -- C:\Dokumente und Einstellungen\Julie\Desktop\Tauschordner auf Brosirechner.lnk
[2013.01.27 13:05:10 | 000,408,390 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.01.27 13:05:10 | 000,394,884 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.01.27 13:05:10 | 000,071,128 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.01.27 13:05:10 | 000,058,596 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.01.27 13:00:15 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.01.27 13:00:14 | 1062,305,792 | -HS- | M] () -- C:\hiberfil.sys
[2013.01.26 12:33:02 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.01.20 19:23:22 | 000,000,441 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2013.01.20 17:52:19 | 000,000,052 | ---- | M] () -- C:\Dokumente und Einstellungen\Julie\defogger_reenable
[2013.01.18 19:44:41 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Julie\Desktop\Defogger.exe
[2013.01.17 17:30:28 | 000,000,763 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.17 16:39:44 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Julie\Desktop\OTL.exe
[2013.01.07 08:02:04 | 000,365,568 | ---- | M] () -- C:\Dokumente und Einstellungen\Julie\Desktop\gmer.exe
[2013.01.06 16:22:08 | 000,086,029 | ---- | M] () -- C:\Dokumente und Einstellungen\Julie\Desktop\beih_kurzantrag.pdf
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.01.22 20:54:20 | 000,012,886 | ---- | C] () -- D:\Eigene Dateien\Unterschrift J. Harder haj.bmp
[2013.01.22 20:54:20 | 000,010,430 | ---- | C] () -- D:\Eigene Dateien\Unterschrift Julia haj.bmp
[2013.01.22 20:54:20 | 000,009,942 | ---- | C] () -- D:\Eigene Dateien\Unterschrift J. Harder.bmp
[2013.01.22 20:54:20 | 000,008,862 | ---- | C] () -- D:\Eigene Dateien\Unterschrift Julia.bmp
[2013.01.20 17:52:10 | 000,000,052 | ---- | C] () -- C:\Dokumente und Einstellungen\Julie\defogger_reenable
[2013.01.20 14:13:58 | 000,365,568 | ---- | C] () -- C:\Dokumente und Einstellungen\Julie\Desktop\gmer.exe
[2013.01.20 14:13:58 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Julie\Desktop\Defogger.exe
[2013.01.17 17:30:28 | 000,000,763 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.06 16:16:31 | 000,086,029 | ---- | C] () -- C:\Dokumente und Einstellungen\Julie\Desktop\beih_kurzantrag.pdf
[2012.03.21 22:26:26 | 000,361,808 | ---- | C] () -- C:\WINDOWS\EMCRI_E.dll
[2012.01.13 00:28:33 | 000,000,441 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2012.01.13 00:28:33 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2012.01.13 00:28:13 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf08b.dat
[2012.01.13 00:28:10 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2012.01.08 23:14:21 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2012.01.08 21:05:44 | 000,175,616 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2012.01.08 21:05:31 | 000,650,752 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2012.01.08 21:05:30 | 000,243,200 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2012.01.08 21:05:29 | 000,079,360 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2012.01.06 20:23:59 | 000,155,136 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347bus.sys
[2012.01.06 20:23:59 | 000,005,248 | ---- | C] ( ) -- C:\WINDOWS\System32\drivers\d347prt.sys
[2012.01.01 21:39:41 | 000,231,056 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTConvEQ.dat
[2012.01.01 21:39:41 | 000,030,856 | ---- | C] () -- C:\WINDOWS\System32\drivers\RtPCEE3.DAT
[2012.01.01 21:39:41 | 000,001,352 | ---- | C] () -- C:\WINDOWS\System32\drivers\RtHdatEx.dat
[2012.01.01 21:39:41 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX3.dat
[2012.01.01 21:39:41 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX2.dat
[2012.01.01 21:39:41 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX1.dat
[2012.01.01 21:39:41 | 000,000,520 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTEQEX0.dat
[2012.01.01 21:39:41 | 000,000,176 | ---- | C] () -- C:\WINDOWS\System32\drivers\RTHDAEQ1.dat
[2012.01.01 21:39:41 | 000,000,024 | ---- | C] () -- C:\WINDOWS\System32\drivers\rtkhdaud.dat
[2012.01.01 21:19:20 | 001,800,192 | ---- | C] () -- C:\WINDOWS\System32\hmtcdres.dll
[2012.01.01 21:19:13 | 000,408,390 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2012.01.01 21:19:13 | 000,394,884 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2012.01.01 21:19:13 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2012.01.01 21:19:13 | 000,058,596 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2012.01.01 21:19:13 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2012.01.01 21:19:13 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2012.01.01 21:19:12 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2012.01.01 21:19:12 | 000,071,128 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2012.01.01 21:17:11 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2012.01.01 21:17:11 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2012.01.01 21:16:58 | 000,006,144 | ---- | C] () -- C:\WINDOWS\System32\FontReg.exe
[2012.01.01 21:16:30 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2012.01.01 21:16:26 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2012.01.01 21:15:15 | 000,394,240 | ---- | C] () -- C:\WINDOWS\System32\hmtcd.dll
[2012.01.01 21:15:10 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2012.01.01 21:15:08 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2012.01.01 21:14:46 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2012.01.01 21:02:04 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2012.01.01 20:57:33 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2012.01.01 20:50:26 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2012.01.01 20:49:25 | 000,216,856 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
 
========== ZeroAccess Check ==========
 
[2012.01.05 20:49:46 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2011.12.29 01:02:14 | 001,510,400 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2011.12.28 23:59:16 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 06:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== Custom Scans ==========
 
< hklm\software\clients\startmenuinternet|command /rs >
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\InstallInfo\\HideIconsCommand: "C:\Programme\Mozilla Firefox\uninstall\helper.exe" /HideShortcuts [2013.01.20 19:41:33 | 000,866,616 | ---- | M] (Mozilla Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\InstallInfo\\ShowIconsCommand: "C:\Programme\Mozilla Firefox\uninstall\helper.exe" /ShowShortcuts [2013.01.20 19:41:33 | 000,866,616 | ---- | M] (Mozilla Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\InstallInfo\\ReinstallCommand: "C:\Programme\Mozilla Firefox\uninstall\helper.exe" /SetAsDefaultAppGlobal [2013.01.20 19:41:33 | 000,866,616 | ---- | M] (Mozilla Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\shell\open\command\\: C:\Programme\Mozilla Firefox\firefox.exe [2013.01.20 19:41:35 | 000,917,400 | ---- | M] (Mozilla Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\shell\properties\command\\: "C:\Programme\Mozilla Firefox\firefox.exe" -preferences [2013.01.20 19:41:35 | 000,917,400 | ---- | M] (Mozilla Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\shell\safemode\command\\: "C:\Programme\Mozilla Firefox\firefox.exe" -safe-mode [2013.01.20 19:41:35 | 000,917,400 | ---- | M] (Mozilla Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\InstallInfo\\ReinstallCommand: %systemroot%\system32\shmgrate.exe OCInstallReinstallIE [2008.04.14 07:53:02 | 000,045,056 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\InstallInfo\\HideIconsCommand: %systemroot%\system32\shmgrate.exe OCInstallHideIE [2008.04.14 07:53:02 | 000,045,056 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\InstallInfo\\ShowIconsCommand: %systemroot%\system32\shmgrate.exe OCInstallShowIE [2008.04.14 07:53:02 | 000,045,056 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\shell\open\command\\: "C:\Programme\Internet Explorer\iexplore.exe" [2008.04.14 06:52:50 | 000,093,184 | ---- | M] (Microsoft Corporation)
 
< hklm\software\clients\startmenuinternet|command /64 /rs >
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\InstallInfo\\HideIconsCommand: "C:\Programme\Mozilla Firefox\uninstall\helper.exe" /HideShortcuts [2013.01.20 19:41:33 | 000,866,616 | ---- | M] (Mozilla Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\InstallInfo\\ShowIconsCommand: "C:\Programme\Mozilla Firefox\uninstall\helper.exe" /ShowShortcuts [2013.01.20 19:41:33 | 000,866,616 | ---- | M] (Mozilla Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\InstallInfo\\ReinstallCommand: "C:\Programme\Mozilla Firefox\uninstall\helper.exe" /SetAsDefaultAppGlobal [2013.01.20 19:41:33 | 000,866,616 | ---- | M] (Mozilla Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\shell\open\command\\: C:\Programme\Mozilla Firefox\firefox.exe [2013.01.20 19:41:35 | 000,917,400 | ---- | M] (Mozilla Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\shell\properties\command\\: "C:\Programme\Mozilla Firefox\firefox.exe" -preferences [2013.01.20 19:41:35 | 000,917,400 | ---- | M] (Mozilla Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\FIREFOX.EXE\shell\safemode\command\\: "C:\Programme\Mozilla Firefox\firefox.exe" -safe-mode [2013.01.20 19:41:35 | 000,917,400 | ---- | M] (Mozilla Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\InstallInfo\\ReinstallCommand: %systemroot%\system32\shmgrate.exe OCInstallReinstallIE [2008.04.14 07:53:02 | 000,045,056 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\InstallInfo\\HideIconsCommand: %systemroot%\system32\shmgrate.exe OCInstallHideIE [2008.04.14 07:53:02 | 000,045,056 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\InstallInfo\\ShowIconsCommand: %systemroot%\system32\shmgrate.exe OCInstallShowIE [2008.04.14 07:53:02 | 000,045,056 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\software\clients\startmenuinternet\IEXPLORE.EXE\shell\open\command\\: "C:\Programme\Internet Explorer\iexplore.exe" [2008.04.14 06:52:50 | 000,093,184 | ---- | M] (Microsoft Corporation)
 
<           >

< End of report >

--- --- ---

Extras:

OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 27.01.2013 14:19:31 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Julie\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.5512)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1013,02 Mb Total Physical Memory | 684,13 Mb Available Physical Memory | 67,53% Memory free
2,38 Gb Paging File | 2,06 Gb Available in Paging File | 86,45% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 48,83 Gb Total Space | 36,12 Gb Free Space | 73,98% Space Free | Partition Type: NTFS
Drive D: | 184,05 Gb Total Space | 150,51 Gb Free Space | 81,78% Space Free | Partition Type: NTFS
 
Computer Name: NETBOOK | User Name: Julie | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_USERS\S-1-5-21-299502267-1767777339-515967899-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"54925:UDP" = 54925:UDP:*:Enabled:BrotherNetwork Scanner
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
"C:\Programme\Java\jre6\bin\javaw.exe" = C:\Programme\Java\jre6\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary
"C:\Programme\FRITZ!\FriFax32.exe" = C:\Programme\FRITZ!\FriFax32.exe:*:Enabled:FRITZ!fax -- (AVM Berlin)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{1194E3AC-5197-4C70-B183-03F542FF9CFB}" = ActivInspire v1
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java(TM) 7 Update 4
"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR81Family Gigabit/Fast Ethernet Driver
"{3A08B59E-A9F0-4F4D-B7E5-6875D7F13327}" = Brother MFL-Pro Suite DCP-585CW
"{3DED3A72-61A8-4B87-98A5-EF0BC8038AA0}" = DAEMON Tools
"{4286716B-1287-48E7-9078-3DC8248DBA96}" = OpenOffice.org 3.3
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{2AB528A5-BB1B-4EBE-8E51-AD0C4CD33CA9}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{3EC77D26-799B-4CD8-914F-C1565E796173}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{430971B1-C31E-45DA-81E0-72C095BAB72C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{58FC5E37-DD28-4D4A-A549-125744C6763C}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{BEE75E01-DD3F-4D5F-B96C-609E6538D419}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{888B9AC7-8F5C-456B-A27A-157A6C310E52}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{DCBECE36-8F23-4B33-925E-A1C6183C0DBD}" = 2007 Microsoft Office Suite Service Pack 1 (SP1)
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X Lite - Deutsch
"{B06F5563-EB92-4B59-B668-7B5FADA296A9}" = ActivInspire Help (DEU) v1
"{B3B93BE6-B660-4C44-B6FF-E9649E74D814}" = ActivInspire HWR Resources v1
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.1
"{E1640DA5-89B4-4F52-B15D-5DA3D14F29D4}" = LG USB Modem Drivers
"{ED77100E-32E0-46CA-B36E-1D3CA14A184D}" = Activdriver v5.1.1.25b
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"7-Zip" = 7-Zip 9.20
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"ENTERPRISE" = Microsoft Office Enterprise 2007
"foobar2000" = foobar2000 v1.1.10
"FRITZ! 2.0" = AVM FRITZ!fax für FRITZ!Box
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"KLiteCodecPack_is1" = K-Lite Codec Pack 8.1.0 (Full)
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Mobile Partner" = Mobile Partner
"Mozilla Firefox 18.0.1 (x86 de)" = Mozilla Firefox 18.0.1 (x86 de)
"Mozilla Thunderbird 17.0 (x86 de)" = Mozilla Thunderbird 17.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"VLC media player" = VLC media player 1.1.11
"XPSP3UPPACK" = Sereby's XP SP3 Updatepack Version 3.11.11
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 01.01.2012 16:17:13 | Computer Name = JULIE-NETBOOK | Source = MsiInstaller | ID = 11933
Description = Product: WebFldrs XP -- Error 1933. Einige geschützte Windows-Dateien
 konnten nicht aktualisiert werden. SFP-Fehler: 3. Liste der geschützten Dateien:\r\nc:\programme\gemeinsame
 dateien\microsoft shared\web server extensions\40\bin\fp4autl.dll  
 
Error - 05.01.2012 15:33:59 | Computer Name = NETBOOK | Source = MsiInstaller | ID = 11933
Description = Product: WebFldrs XP -- Error 1933. Einige geschützte Windows-Dateien
 konnten nicht aktualisiert werden. SFP-Fehler: 3. Liste der geschützten Dateien:\r\nc:\programme\gemeinsame
 dateien\microsoft shared\web server extensions\40\bin\fp4autl.dll  
 
Error - 05.01.2012 16:19:16 | Computer Name = NETBOOK | Source = MsiInstaller | ID = 11933
Description = Produkt: Microsoft Software Update for Web Folders  (German) 12 --
 Fehler 1933. Einige geschützte Windows-Dateien konnten nicht aktualisiert werden.
 SFP-Fehler: 3. Liste der geschützten Dateien:\r\nc:\programme\gemeinsame dateien\microsoft
 shared\web server extensions\40\bin\fp4autl.dll  
 
Error - 06.01.2012 15:43:52 | Computer Name = NETBOOK | Source = MsiInstaller | ID = 11933
Description = Produkt: Microsoft Software Update for Web Folders  (German) 12 --
 Fehler 1933. Einige geschützte Windows-Dateien konnten nicht aktualisiert werden.
 SFP-Fehler: 3. Liste der geschützten Dateien:\r\nc:\programme\gemeinsame dateien\microsoft
 shared\web server extensions\40\bin\fp4autl.dll  
 
Error - 06.01.2012 15:47:11 | Computer Name = NETBOOK | Source = MsiInstaller | ID = 11933
Description = Produkt: Microsoft Software Update for Web Folders  (German) 12 --
 Fehler 1933. Einige geschützte Windows-Dateien konnten nicht aktualisiert werden.
 SFP-Fehler: 3. Liste der geschützten Dateien:\r\nc:\programme\gemeinsame dateien\microsoft
 shared\web server extensions\40\bin\fp4autl.dll  
 
Error - 06.01.2012 15:50:13 | Computer Name = NETBOOK | Source = MsiInstaller | ID = 11933
Description = Produkt: Microsoft Software Update for Web Folders  (German) 12 --
 Fehler 1933. Einige geschützte Windows-Dateien konnten nicht aktualisiert werden.
 SFP-Fehler: 3. Liste der geschützten Dateien:\r\nc:\programme\gemeinsame dateien\microsoft
 shared\web server extensions\40\bin\fp4autl.dll  
 
Error - 06.01.2012 15:53:37 | Computer Name = NETBOOK | Source = MsiInstaller | ID = 11933
Description = Produkt: Microsoft Software Update for Web Folders  (German) 12 --
 Fehler 1933. Einige geschützte Windows-Dateien konnten nicht aktualisiert werden.
 SFP-Fehler: 3. Liste der geschützten Dateien:\r\nc:\programme\gemeinsame dateien\microsoft
 shared\web server extensions\40\bin\fp4autl.dll  
 
Error - 25.06.2012 09:03:15 | Computer Name = NETBOOK | Source = SecurityCenter | ID = 1802
Description = Das Windows-Sicherheitscenter konnte keine Ereignisabfragen mit der
 WMI herstellen, um Antivirus- und Firewallprogramme von Drittanbietern zu überwachen.
 
Error - 02.09.2012 03:37:17 | Computer Name = NETBOOK | Source = SecurityCenter | ID = 1802
Description = Das Windows-Sicherheitscenter konnte keine Ereignisabfragen mit der
 WMI herstellen, um Antivirus- und Firewallprogramme von Drittanbietern zu überwachen.
 
Error - 05.10.2012 10:29:49 | Computer Name = NETBOOK | Source = SecurityCenter | ID = 1802
Description = Das Windows-Sicherheitscenter konnte keine Ereignisabfragen mit der
 WMI herstellen, um Antivirus- und Firewallprogramme von Drittanbietern zu überwachen.
 
[ OSession Events ]
Error - 06.12.2012 16:23:04 | Computer Name = NETBOOK | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6211.1000, Microsoft Office Version: 12.0.6215.1000. This session lasted 2782
 seconds with 1680 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 14.01.2013 01:53:16 | Computer Name = NETBOOK | Source = Ntfs | ID = 262199
Description = Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar.
Führen
 Sie chkdsk auf Volume "E:" aus.
 
 
< End of report >

--- --- ---

Defogger:

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:17 on 27/01/2013 (Julie)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
d347prt -> Already disabled
d347bus -> Already disabled

-=E.O.F=-

und

Zitat:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 17:52 on 20/01/2013 (Julie)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
d347prt -> Disabled (Service running -> reboot required)
d347bus -> Disabled (Service running -> reboot required)

-=E.O.F=-

GMER:

Zitat:

GMER 2.0.18444 - hxxp://www.gmer.net
Rootkit scan 2013-01-27 17:15:24
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0 Hitachi_ rev.PB2O 232,89GB
Running: gmer.exe; Driver: C:\DOKUME~1\Julie\LOKALE~1\Temp\uxldqpog.sys

---- System - GMER 2.0 ----

SSDT EEFB79CC ZwClose
SSDT EEFB7986 ZwCreateKey
SSDT EEFB79D6 ZwCreateSection
SSDT EEFB797C ZwCreateThread
SSDT EEFB798B ZwDeleteKey
SSDT EEFB7995 ZwDeleteValueKey
SSDT EEFB79C7 ZwDuplicateObject
SSDT EEFB799A ZwLoadKey
SSDT EEFB7968 ZwOpenProcess
SSDT EEFB796D ZwOpenThread
SSDT EEFB79EF ZwQueryValueKey
SSDT EEFB79A4 ZwReplaceKey
SSDT EEFB79E0 ZwRequestWaitReplyPort
SSDT EEFB799F ZwRestoreKey
SSDT EEFB79DB ZwSetContextThread
SSDT EEFB79E5 ZwSetSecurityObject
SSDT EEFB7990 ZwSetValueKey
SSDT EEFB79EA ZwSystemDebugControl
SSDT EEFB7977 ZwTerminateProcess

---- Kernel code sections - GMER 2.0 ----

.text ntkrnlpa.exe!ZwCallbackReturn + 2FE1 8050487D 3 Bytes [79, FB, EE] {JNS 0xfffffffd; OUT DX, AL}

---- EOF - GMER 2.0 ----

wgsdgsdgdsgsd.exe und A0067266.exe

Plagegeister aller Art und deren Bekämpfung: wgsdgsdgdsgsd.exe und A0067266.exe