GVU / mein rechner ist gesperrt

Thomas K. · 24.01.2013, 09:07

Hallo Helferteam,

seid gestern ist mein anderer Rechner von der GVU gesperrt.
Zum Glück habe ich euch gefunden.
Habe schon etwas gelesen von Malwarebytes, kaspersky und anderen Programmen welchen dieses Problem beseitigen sollen.
Ich bin jedoch verunsichert und warte auf eure Hilfe

Gruß Thomas

ryder · 24.01.2013, 09:39

Ich werde dir bei deinem Problem helfen. Eine Bereinigung ist mitunter mit viel Arbeit für Dich (und mich) verbunden. Bevor es los geht, habe ich etwas Lesestoff für dich.

Bitte Lesen:
Regeln für die Bereinigung
Damit die Bereinigung funktioniert bitte ich dich, die folgenden Punkte aufmerksam zu lesen:

Bitte arbeite alle Schritte der Reihe nach ab. Gib mir bitte zu jedem Schritt Rückmeldung (Logfile oder Antwort) und zwar gesammelt, wenn du alles erledigt hast, in einer Antwort.
Nur Scanns durchführen zu denen Du aufgefordert wirst.
Bitte kein Crossposting (posten in mehreren Foren).
Installiere oder Deinstalliere während der Bereinigung keine Software, ausser Du wurdest dazu aufgefordert.
Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags - #-Symbol im Editor anklicken). Nicht anhängen oder zippen, außer ich fordere Dich dazu auf, oder das Logfile wäre zu gross. Erschwert mir nämlich das Auswerten.
Mache deinen Namen nur dann unkenntlich, wenn es unbedingt sein muss.
Beim ersten Anzeichen illegal genutzer Software (Cracks, Patches und Co) wird der Support ohne Diskussion eingestellt.
Sollte ich nicht nach 3 Tagen geantwortet haben, dann (und nur dann) schicke mir bitte eine PM.
Ich werde dir ganz deutlich mitteilen, dass du "sauber" bist. Bis dahin arbeite bitte gut mit.
Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Gelesen und verstanden?

Computer entsperren mit HitmanPro.Kickstart

Du brauchst hierfür einen USB-Stick. Achtung: Alle Daten darauf werden verloren gehen!

Bereite deinen USB-Stick wie folgt vor: Anleitung: HitmanPro.Kickstart

Schliesse deinen präparierten Stick an den infizierten Rechner an und starte ihn vom Stick: Anleitung: Starten vom USB-Stick

Es erscheint ein Bootmenü von HitmanPro - wähle zunächst Methode 1 aus und wenn das nicht klappen sollte, dann Methode 2.

Windows wird jetzt ganz normal starten. Wenn der Sperrschirm des Trojaners erscheint warte einfach ab. HitmanPro sollte in wenigen Sekunden gestartet werden (grünes Fenster).

Klicke jetzt: Weiter > "Nein, ich möchte nur einen Einmalscan ..." > Weiter

Der Computer wird jetzt untersucht, mache in dieser Zeit bitte nichts.

Klicke dann weiter, um die Funde in die Quarantäne zu verschieben.

Klicke jetzt unten links auf "Logfile speichern" und lege es auf dem Desktop ab.

Lasse den Rechner neu starten, berichte ob alles geklappt hat und poste mir hier das Logfile von HitmanPro.

Video-Anleitung: HitmanPro.Kickstart in Aktion (englisch)

Thomas K. · 24.01.2013, 12:52

Ich bekomme meinen Rechner leider nicht mit dem USB-Stick gestartet.
Dies erscheint immer, wenn ich den Scan gestartet habe.

ryder · 24.01.2013, 14:28

Okay und du hast beide Varianten probiert?
Ist das XP, Vista, 7 ?

Thomas K. · 24.01.2013, 14:48

Ja, habe beide Varianten probiert. Bei beiden das Gleiche.
Es ist Windows 7

ryder · 24.01.2013, 16:35

Nur noch zur Klarstellung das grüne Fenster von Hitman erschien und du hast weiter geklickt?

Ohne Hitman Stick kannst du normal booten bis auf die Tatsache, dass der Trojaner den Bildschirm sperrt?

Thomas K. · 24.01.2013, 17:29

Ja, genau so Hitman wollte den Scan beginnen, dh. das grüne fenster war schon, ich glaube, weiß / blau und dann kam die Meldung auf dem Foto.

Ich kann booten bis der Bildschirm von Windows 7 kommt, der Rote.
danach wird er Schwarz

ryder · 24.01.2013, 17:31

Echt seltsam, hatte schon mal einen User mit dem Fehler.

Wir machen so weiter:

Scan mit Farbar's Recovery Scan Tool

Downloade dir bitte die passende Version des Tools und speichere diese auf einen USB Stick:
Farbar Recovery Scan Tool 32-Bit-Version
Farbar Recovery Scan Tool 64-Bit-Version

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager
Starte den Rechner neu auf.

Während dem Hochfahren drücke mehrmals die F8 Taste

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD
Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu auf und starte von der CD

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !!

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung
Gib nun bitte notepad ein und drücke Enter.

Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.

Schließe Notepad wieder

Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.

Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Thomas K. · 25.01.2013, 09:24

Zitat:

Zitat von ryder

Schließe den USB Stick an das infizierte System an

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager

Starte den Rechner neu auf.
Während dem Hochfahren drücke mehrmals die F8 Taste
Wähle nun Computer reparieren.
Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Hat leider nicht geklappt. Habe die F8 taste gedrückt, passierte aber nichts.
Habs dann mit der CD probiert. Habe leider keine Windows CD, nur eine Wiederherstellungs CD für den PC.

Zitat:

Zitat von ryder

Mit Windows CD/DVD

Lege die Windows CD in dein Laufwerk.
Starte den Rechner neu auf und starte von der CD

Bis hierhin gings auch, jedoch verlief es dann ander weiter.
Ich bin jetzt dabei, auf dem infizierten PC, eine Dateisicherungs CD zu brennen.
Soll ich nach der Sicherung abbrechen?
Ich weis allerdings noch nicht was danach für optionen kommen
die Sicherung dauert noch ein wenig.

Edit: habe abgebrochen, da ich nicht auf die Werkseinstellug zurücksetzen wollte

Zitat:

Zitat von ryder

Wähle die Spracheinstellungen und klicke "Weiter".

Klicke auf Computerreparaturoptionen !!

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Zitat:

Zitat von ryder

Wähle in den Reparaturoptionen Eingabeaufforderung

Gib nun bitte notepad ein und drücke Enter.
Im öffnenden Textdokument: Datei > Speichern unter... und wähle Computer
Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
Schließe Notepad wieder
Gib nun bitte folgenden Befehl ein.
e:\frst.exe bzw. e:\frst64.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.
[/indent]

habe es doch irgendwie geschafft

Code:

ATTFilter

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 21-01-2013 02
Ran by Thomas at 25-01-2013 10:38:28
Running from F:\
  Service Pack 1 (X64) OS Language: German Standard 
Attention: Could not load system hive.
Der Vorgang wurde erfolgreich beendet.

ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.


==================== One Month Created Files and Folders ========

2013-01-25 10:38 - 2013-01-25 10:38 - 00000000 ____D C:\FRST
2013-01-25 10:31 - 2013-01-25 10:31 - 00270112 ____A C:\Windows\Minidump\012513-28111-01.dmp
2013-01-25 10:17 - 2013-01-25 10:18 - 00270112 ____A C:\Windows\Minidump\012513-27674-01.dmp
2013-01-25 10:14 - 2013-01-25 10:14 - 00274296 ____A C:\Windows\Minidump\012513-28142-01.dmp
2013-01-25 08:44 - 2013-01-25 08:44 - 00274296 ____A C:\Windows\Minidump\012513-80184-01.dmp
2013-01-24 13:24 - 2013-01-24 13:25 - 00274296 ____A C:\Windows\Minidump\012413-81198-01.dmp
2013-01-24 13:22 - 2013-01-24 13:22 - 00274296 ____A C:\Windows\Minidump\012413-79903-01.dmp
2013-01-24 13:19 - 2013-01-24 13:19 - 00274296 ____A C:\Windows\Minidump\012413-81151-01.dmp
2013-01-24 11:38 - 2013-01-24 11:38 - 00274296 ____A C:\Windows\Minidump\012413-81011-01.dmp
2013-01-24 11:36 - 2013-01-24 11:36 - 00000000 ____D C:\Users\All Users\HitmanPro
2013-01-24 11:36 - 2013-01-24 11:36 - 00000000 ____A C:\Users\All Users\zdqe6zww.dat
2013-01-23 13:17 - 2013-01-25 10:18 - 95023320 ___AT C:\Users\All Users\jedTn9l.pad
2013-01-23 13:17 - 2013-01-23 13:17 - 00003226 ____A C:\Users\All Users\jedTn9l.js
2013-01-23 13:17 - 2013-01-23 13:17 - 00000153 ____A C:\Users\All Users\jedTn9l.reg
2013-01-23 13:17 - 2013-01-23 13:17 - 00000080 ____A C:\Users\All Users\jedTn9l.bat
2013-01-16 16:42 - 2013-01-16 16:42 - 00012215 ____A C:\Users\Thomas\Documents\Lohnkonto calc.ods
2013-01-16 15:06 - 2013-01-16 16:41 - 00018675 ____A C:\Users\Thomas\Documents\Wiegmann.ods
2013-01-16 15:05 - 2013-01-16 15:44 - 00013726 ____A C:\Users\Thomas\Documents\Bischoff.ods
2013-01-16 15:05 - 2013-01-16 15:05 - 00018989 ____A C:\Users\Thomas\Documents\Erfurt.ods
2013-01-16 15:05 - 2013-01-16 15:05 - 00007051 ____A C:\Users\Thomas\Documents\Barthel.ods
2013-01-15 15:53 - 2013-01-15 16:29 - 00017279 ____A C:\Users\Thomas\Documents\Wild World.gpx
2013-01-14 11:06 - 2013-01-14 11:47 - 00016582 ____A C:\Users\Thomas\Documents\Private Dancer.gpx
2013-01-10 03:05 - 2013-01-10 03:06 - 00262326 ____A C:\Windows\msxml4-KB2758694-enu.LOG
2013-01-09 15:47 - 2012-12-07 13:26 - 00308736 ____A (Microsoft Corporation) C:\Windows\SysWOW64\Wpc.dll
2013-01-09 15:47 - 2012-12-07 13:26 - 00308736 ____A (Microsoft Corporation) C:\Windows\System32\Wpc.dll
2013-01-09 15:47 - 2012-12-07 13:20 - 02576384 ____A (Microsoft Corporation) C:\Windows\SysWOW64\gameux.dll
2013-01-09 15:47 - 2012-12-07 13:20 - 02576384 ____A (Microsoft Corporation) C:\Windows\System32\gameux.dll
2013-01-09 15:47 - 2012-12-07 11:46 - 00055296 ____A (Microsoft) C:\Windows\SysWOW64\cero.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00055296 ____A (Microsoft) C:\Windows\System32\cero.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00051712 ____A (Microsoft) C:\Windows\SysWOW64\esrb.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00051712 ____A (Microsoft) C:\Windows\System32\esrb.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00046592 ____A (Microsoft) C:\Windows\SysWOW64\fpb.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00046592 ____A (Microsoft) C:\Windows\System32\fpb.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00045568 ____A (Microsoft) C:\Windows\SysWOW64\oflc-nz.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00045568 ____A (Microsoft) C:\Windows\System32\oflc-nz.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00044544 ____A (Microsoft) C:\Windows\SysWOW64\pegibbfc.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00044544 ____A (Microsoft) C:\Windows\System32\pegibbfc.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00043520 ____A (Microsoft) C:\Windows\SysWOW64\csrr.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00043520 ____A (Microsoft) C:\Windows\System32\csrr.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00040960 ____A (Microsoft) C:\Windows\SysWOW64\cob-au.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00040960 ____A (Microsoft) C:\Windows\System32\cob-au.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00030720 ____A (Microsoft) C:\Windows\SysWOW64\usk.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00030720 ____A (Microsoft) C:\Windows\System32\usk.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00023552 ____A (Microsoft) C:\Windows\SysWOW64\oflc.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00023552 ____A (Microsoft) C:\Windows\System32\oflc.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00021504 ____A (Microsoft) C:\Windows\SysWOW64\grb.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00021504 ____A (Microsoft) C:\Windows\System32\grb.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\SysWOW64\pegi-pt.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\SysWOW64\pegi-fi.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\SysWOW64\pegi.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi-pt.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi-fi.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00015360 ____A (Microsoft) C:\Windows\SysWOW64\djctq.rs
2013-01-09 15:47 - 2012-12-07 11:46 - 00015360 ____A (Microsoft) C:\Windows\System32\djctq.rs
2013-01-09 15:46 - 2012-11-09 05:43 - 00492032 ____A (Microsoft Corporation) C:\Windows\SysWOW64\win32spl.dll
2013-01-09 15:46 - 2012-11-09 05:43 - 00492032 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-01-09 15:44 - 2012-11-22 05:45 - 00626688 ____A (Microsoft Corporation) C:\Windows\SysWOW64\usp10.dll
2013-01-09 15:44 - 2012-11-22 05:45 - 00626688 ____A (Microsoft Corporation) C:\Windows\System32\usp10.dll
2013-01-09 15:44 - 2012-11-20 05:51 - 00220160 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ncrypt.dll
2013-01-09 15:44 - 2012-11-20 05:51 - 00220160 ____A (Microsoft Corporation) C:\Windows\System32\ncrypt.dll
2013-01-09 15:44 - 2012-11-01 05:47 - 01389568 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msxml6.dll
2013-01-09 15:44 - 2012-11-01 05:47 - 01389568 ____A (Microsoft Corporation) C:\Windows\System32\msxml6.dll
2013-01-09 15:44 - 2012-11-01 05:47 - 01236992 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msxml3.dll
2013-01-09 15:44 - 2012-11-01 05:47 - 01236992 ____A (Microsoft Corporation) C:\Windows\System32\msxml3.dll
2013-01-09 15:43 - 2012-11-30 05:54 - 00005120 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2013-01-09 15:43 - 2012-11-30 05:54 - 00005120 ____A (Microsoft Corporation) C:\Windows\System32\wow32.dll
2013-01-09 15:43 - 2012-11-30 05:53 - 01114112 ____A (Microsoft Corporation) C:\Windows\SysWOW64\kernel32.dll
2013-01-09 15:43 - 2012-11-30 05:53 - 01114112 ____A (Microsoft Corporation) C:\Windows\System32\kernel32.dll
2013-01-09 15:43 - 2012-11-30 05:53 - 00274944 ____A (Microsoft Corporation) C:\Windows\SysWOW64\KernelBase.dll
2013-01-09 15:43 - 2012-11-30 05:53 - 00274944 ____A (Microsoft Corporation) C:\Windows\System32\KernelBase.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00005120 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-file-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00005120 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00004608 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processthreads-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-sysinfo-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-synch-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-misc-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localregistry-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localization-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processenvironment-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-namedpipe-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-memory-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-libraryloader-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-interlocked-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-heap-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-string-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-profile-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-io-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-handle-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-fibers-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-errorhandling-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-delayload-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-debug-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-datetime-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-console-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 05:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 03:44 - 00025600 ____A (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2013-01-09 15:43 - 2012-11-30 03:44 - 00025600 ____A (Microsoft Corporation) C:\Windows\System32\setup16.exe
2013-01-09 15:43 - 2012-11-30 03:44 - 00014336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2013-01-09 15:43 - 2012-11-30 03:44 - 00014336 ____A (Microsoft Corporation) C:\Windows\System32\ntvdm64.dll
2013-01-09 15:43 - 2012-11-30 03:44 - 00007680 ____A (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2013-01-09 15:43 - 2012-11-30 03:44 - 00007680 ____A (Microsoft Corporation) C:\Windows\System32\instnm.exe
2013-01-09 15:43 - 2012-11-30 03:44 - 00002048 ____A (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2013-01-09 15:43 - 2012-11-30 03:44 - 00002048 ____A (Microsoft Corporation) C:\Windows\System32\user.exe
2013-01-09 15:43 - 2012-11-30 03:38 - 00006144 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-security-base-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 03:38 - 00006144 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 03:38 - 00004608 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-threadpool-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 03:38 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 03:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-xstate-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 03:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 03:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-util-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 03:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
2013-01-09 15:43 - 2012-11-30 00:17 - 00420064 ____A C:\Windows\SysWOW64\locale.nls
2013-01-09 15:43 - 2012-11-30 00:17 - 00420064 ____A C:\Windows\System32\locale.nls


==================== One Month Modified Files and Folders ========

2013-01-25 17:49 - 2011-05-26 08:45 - 00000000 ____D C:\Users\All Users\Recovery
2013-01-25 10:38 - 2013-01-25 10:38 - 00000000 ____D C:\FRST
2013-01-25 10:31 - 2013-01-25 10:31 - 00270112 ____A C:\Windows\Minidump\012513-28111-01.dmp
2013-01-25 10:31 - 2011-07-21 23:43 - 00000000 ____D C:\Windows\Minidump
2013-01-25 10:30 - 2011-07-21 23:43 - 306896670 ____A C:\Windows\MEMORY.DMP
2013-01-25 10:18 - 2013-01-25 10:17 - 00270112 ____A C:\Windows\Minidump\012513-27674-01.dmp
2013-01-25 10:18 - 2013-01-23 13:17 - 95023320 ___AT C:\Users\All Users\jedTn9l.pad
2013-01-25 10:14 - 2013-01-25 10:14 - 00274296 ____A C:\Windows\Minidump\012513-28142-01.dmp
2013-01-25 10:12 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-01-25 10:12 - 2009-07-14 05:51 - 00033580 ____A C:\Windows\setupact.log
2013-01-25 08:44 - 2013-01-25 08:44 - 00274296 ____A C:\Windows\Minidump\012513-80184-01.dmp
2013-01-24 13:25 - 2013-01-24 13:24 - 00274296 ____A C:\Windows\Minidump\012413-81198-01.dmp
2013-01-24 13:22 - 2013-01-24 13:22 - 00274296 ____A C:\Windows\Minidump\012413-79903-01.dmp
2013-01-24 13:19 - 2013-01-24 13:19 - 00274296 ____A C:\Windows\Minidump\012413-81151-01.dmp
2013-01-24 11:51 - 2011-02-12 12:03 - 02050287 ____A C:\Windows\WindowsUpdate.log
2013-01-24 11:38 - 2013-01-24 11:38 - 00274296 ____A C:\Windows\Minidump\012413-81011-01.dmp
2013-01-24 11:36 - 2013-01-24 11:36 - 00000000 ____D C:\Users\All Users\HitmanPro
2013-01-24 11:36 - 2013-01-24 11:36 - 00000000 ____A C:\Users\All Users\zdqe6zww.dat
2013-01-23 14:06 - 2012-09-06 16:41 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-01-23 13:26 - 2011-02-12 12:52 - 00040876 ____A C:\Windows\PFRO.log
2013-01-23 13:17 - 2013-01-23 13:17 - 00003226 ____A C:\Users\All Users\jedTn9l.js
2013-01-23 13:17 - 2013-01-23 13:17 - 00000153 ____A C:\Users\All Users\jedTn9l.reg
2013-01-23 13:17 - 2013-01-23 13:17 - 00000080 ____A C:\Users\All Users\jedTn9l.bat
2013-01-16 16:42 - 2013-01-16 16:42 - 00012215 ____A C:\Users\Thomas\Documents\Lohnkonto calc.ods
2013-01-16 16:41 - 2013-01-16 15:06 - 00018675 ____A C:\Users\Thomas\Documents\Wiegmann.ods
2013-01-16 15:44 - 2013-01-16 15:05 - 00013726 ____A C:\Users\Thomas\Documents\Bischoff.ods
2013-01-16 15:07 - 2012-04-04 16:51 - 00000000 ____D C:\Users\Thomas\Documents\Datev
2013-01-16 15:05 - 2013-01-16 15:05 - 00018989 ____A C:\Users\Thomas\Documents\Erfurt.ods
2013-01-16 15:05 - 2013-01-16 15:05 - 00007051 ____A C:\Users\Thomas\Documents\Barthel.ods
2013-01-15 16:29 - 2013-01-15 15:53 - 00017279 ____A C:\Users\Thomas\Documents\Wild World.gpx
2013-01-14 11:47 - 2013-01-14 11:06 - 00016582 ____A C:\Users\Thomas\Documents\Private Dancer.gpx
2013-01-11 11:35 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache
2013-01-10 12:02 - 2012-10-08 16:43 - 00000000 ____D C:\Users\Thomas\AppData\Local\FRITZ!
2013-01-10 09:01 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\Microsoft.NET
2013-01-10 03:43 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\SysWOW64\de-DE
2013-01-10 03:43 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\SysWOW64
2013-01-10 03:43 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\System32\de-DE
2013-01-10 03:42 - 2011-10-05 07:20 - 00000000 ____D C:\Users\Thomas\AppData\Roaming\SoftGrid Client
2013-01-10 03:26 - 2011-02-12 16:03 - 02170454 ____A C:\Windows\SysWOW64\PerfStringBackup.INI
2013-01-10 03:26 - 2011-02-12 16:03 - 02170454 ____A C:\Windows\System32\PerfStringBackup.INI
2013-01-10 03:06 - 2013-01-10 03:05 - 00262326 ____A C:\Windows\msxml4-KB2758694-enu.LOG
2013-01-09 14:10 - 2012-09-06 16:41 - 00697864 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-01-09 14:10 - 2012-09-06 16:41 - 00697864 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerApp.exe
2013-01-09 14:10 - 2012-02-16 11:55 - 00074248 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-01-09 14:10 - 2012-02-16 11:55 - 00074248 ____A (Adobe Systems Incorporated) C:\Windows\System32\FlashPlayerCPLApp.cpl

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2011-06-14 10:17] - [2011-02-25 07:19] - 2871808 ____A (Microsoft Corporation) 332FEAB1435662FC6C672E25BEB37BE3

C:\Windows\System32\winlogon.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe IS MISSING <==== ATTENTION!.
C:\Windows\System32\User32.dll
[2011-12-19 14:20] - [2010-11-20 13:08] - 0833024 ____A (Microsoft Corporation) 5E0DB2D8B2750543CD2EBB9EA8E6CDD3

C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys IS MISSING <==== ATTENTION!.

==================== Memory info =========================== 

Percentage of memory in use: 17%
Total physical RAM: 2815.29 MB
Available physical RAM: 2329.34 MB
Total Pagefile: 5628.76 MB
Available Pagefile: 5149.64 MB
Total Virtual: 4095.88 MB
Available Virtual: 3961.59 MB

==================== Partitions =============================

1 Drive c: (COMPAQ) (Fixed) (Total:455.72 GB) (Free:377.55 GB) NTFS
2 Drive d: (FACTORY_IMAGE) (Fixed) (Total:9.94 GB) (Free:1.01 GB) NTFS ==>[System with boot components (obtained from reading drive)]
4 Drive f: (HITMANPRO) (Removable) (Total:1.87 GB) (Free:1.87 GB) FAT32

  Datentr„ger ###  Status         Gr”áe    Frei     Dyn  GPT
  ---------------  -------------  -------  -------  ---  ---
  Datentr„ger 0    Online          465 GB      0 B         
  Datentr„ger 1    Online         1923 MB      0 B         

Partitions of Disk 0:
===============

Datentr„ger-ID: 9A76CDA3

  Partition ###  Typ               Gr”áe    Offset
  -------------  ----------------  -------  -------
  Partition 1    Prim„r             100 MB  1024 KB
  Partition 2    Prim„r             455 GB   101 MB
  Partition 3    Prim„r               9 GB   455 GB

=========================================================

Disk: 0
Partition 1
Typ      : 07
Versteckt: Nein
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 1         System       NTFS   Partition    100 MB  Fehlerfre  System (partition with boot components)  

=========================================================

Disk: 0
Partition 2
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 2     C   COMPAQ       NTFS   Partition    455 GB  Fehlerfre  Startpar

=========================================================

Disk: 0
Partition 3
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 3     D   FACTORY_IMA  NTFS   Partition      9 GB  Fehlerfre          

=========================================================

Disk: 0
Partition 3
Typ      : 07
Versteckt: Nein
Aktiv    : Nein

  Volume ###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 3     D   FACTORY_IMA  NTFS   Partition      9 GB  Fehlerfre          

=========================================================

Partitions of Disk 1:
===============

Datentr„ger-ID: 4B46762D

  Partition ###  Typ               Gr”áe    Offset
  -------------  ----------------  -------  -------
  Partition 1    Prim„r            1921 MB    31 KB

=========================================================

Disk: 1
Partition 1
Typ      : 0B
Versteckt: Nein
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 4     F   HITMANPRO    FAT32  Wechselmed  1921 MB  Fehlerfre          

=========================================================

Disk: 1
Partition 1
Typ      : 0B
Versteckt: Nein
Aktiv    : Ja

  Volume ###  Bst  Bezeichnung  DS     Typ         Gr”áe    Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
* Volume 4     F   HITMANPRO    FAT32  Wechselmed  1921 MB  Fehlerfre          

=========================================================
==================== End Of Log ============================

ryder · 25.01.2013, 16:23

Zitat:

ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.

Nein das ist falsch.

F8 muss im richtigen Moment gedrückt werden evtl mehrmals, das Timing ist entscheidend.

Thomas K. · 25.01.2013, 17:04

Ok. hab ich jetzt gemacht
Es kommt aber die Meldung The supsystem neededto support the image type is not present.
und zwar nach eingabe h:\frst.exe
was mache ich falsch

Hab#s nochmal eingegeben.

'h\frst.exe' is not recognized as an internal or external command operable program or batch file

ryder · 25.01.2013, 17:28

Du hast aber ein 64bit System

Thomas K. · 25.01.2013, 17:32

vor dem Befehl sreht aber X:\windows\system32

ryder · 25.01.2013, 17:33

Ich weiß nicht was du mir sagen willst.

Thomas K. · 25.01.2013, 17:39

mit 64er macht er es jetzt. Sorry ich bin nur Tischler (Schreiner)

Zitat:

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 21-01-2013 02
Ran by SYSTEM at 25-01-2013 17:43:51
Running from H:\
Windows 7 Home Premium (X64) OS Language: English(US)
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [FullScreen] C:\BLOCK\CFG\flexbuild\FullScreen\launchFS.cmd [x]
HKLM\...\Run: [hpsysdrv] c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe [62768 2008-11-20] (Hewlett-Packard)
HKLM-x32\...\Run: [StartCCC] "c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [98304 2010-02-02] (Advanced Micro Devices, Inc.)
HKLM-x32\...\Run: [PDF Complete] C:\Program Files (x86)\PDF Complete\pdfsty.exe [563736 2009-10-14] (PDF Complete Inc)
HKLM-x32\...\Run: [NortonOnlineBackup] C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuClient.exe [1112920 2010-03-05] (Symantec Corporation)
HKLM-x32\...\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe [61112 2010-04-25] (EasyBits Software AS)
HKLM-x32\...\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min [281768 2011-01-10] (Avira GmbH)
HKLM-x32\...\Run: [HP Software Update] C:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe [49208 2010-03-12] (Hewlett-Packard)
HKLM-x32\...\Run: [] [x]
HKLM-x32\...\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59280 2012-08-27] (Apple Inc.)
HKLM-x32\...\Run: [ApnUpdater] "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" [1573576 2012-12-10] (Ask)
HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [252848 2012-07-02] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe" [421776 2012-09-09] (Apple Inc.)
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [926896 2012-09-23] (Adobe Systems Incorporated)
HKLM\...\Runonce: [*WerKernelReporting] %SYSTEMROOT%\SYSTEM32\WerFault.exe -k -rq [x]
HKLM\...\Winlogon: [Shell] C:\PROGRA~3\jedTn9l.bat [x ] ()
Tcpip\Parameters: [DhcpNameServer] 192.168.178.1
Startup: C:\Users\All Users\Start Menu\Programs\Startup\Basisschnittstelle Office SR V.5.02 Initialisierung.lnk
ShortcutTarget: Basisschnittstelle Office SR V.5.02 Initialisierung.lnk -> C:\DATEV\PROGRAMM\BSoffice\service\OfficeDiag.exe (DATEV eG)
Startup: C:\Users\All Users\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files (x86)\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
Startup: C:\Users\All Users\Start Menu\Programs\Startup\SkyUserDevmode-Update.lnk
ShortcutTarget: SkyUserDevmode-Update.lnk -> C:\DATEV\PROGRAMM\B0001401\UpdateDevmode.exe (DATEV eG)

==================== Services (Whitelisted) ===================

2 AntiVirSchedulerService; "C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [136360 2011-10-27] (Avira GmbH)
2 AntiVirService; "C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [269480 2011-10-27] (Avira GmbH)
3 DATEV Update-Service; "C:\DATEV\PROGRAMM\INSTALL\DvInesASDSvc.Exe" [172640 2011-07-24] (DATEV eG)
2 DatevPrintService; C:\DATEV\PROGRAMM\B0001442\PSNTSERV.EXE [79872 2011-12-08] (DATEV eG)
3 McComponentHostService; "C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe" [227232 2010-01-15] (McAfee, Inc.)
2 MSSQL$CANTOR2005; "C:\Program Files (x86)\Microsoft SQL Server\MSSQL.2\MSSQL\Binn\sqlservr.exe" -sCANTOR2005 [29293408 2010-12-10] (Microsoft Corporation)
2 MSSQL$CANTOR2008; "C:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.CANTOR2008\MSSQL\Binn\sqlservr.exe" -sCANTOR2008 [42884448 2010-04-03] (Microsoft Corporation)
2 MSSQL$DATEV_CL_DE01; "C:\Program Files (x86)\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe" -sDATEV_CL_DE01 [29293408 2010-12-10] (Microsoft Corporation)
2 NIS; "C:\Program Files (x86)\Norton Internet Security\Engine\17.0.0.136\ccSvcHst.exe" /s "NIS" /m "C:\Program Files (x86)\Norton Internet Security\Engine\17.0.0.136\diMaster.dll" /prefetch:1 [132984 2009-08-28] (Symantec Corporation)
2 NOBU; C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe service [2782552 2010-03-05] (Symantec Corporation)
2 SageDeploymentService; C:\Program Files (x86)\Common Files\Sage Software Shared\Deploymentservice.exe [424088 2011-05-31] (Sage Software)
4 SQLAgent$CANTOR2008; "C:\Program Files (x86)\Microsoft SQL Server\MSSQL10_50.CANTOR2008\MSSQL\Binn\SQLAGENT.EXE" -i CANTOR2008 [367456 2010-04-03] (Microsoft Corporation)
3 Datev.Database.Conserve; C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Database.Conserve SvcRunLevel=1000 [x]
2 Datev.Framework.RemoteServiceModel.EnablerService; C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -SvcRunLevel=9999 [x]
3 Datev.Framework.RemoteServices; C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -SvcRunLevel=1000 [x]
3 Datev.Framework.RemoteServices.Messaging.CentralMessagingService; C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices.Messaging.CentralMessagingService -SvcRunLevel=1000 [x]
2 msftesql$DATEV_CL_DE01; "C:\Program Files (x86)\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\msftesql.exe" -s:MSSQL.3 -f

ATEV_CL_DE01 [x]

==================== Drivers (Whitelisted) =====================

2 avgntflt; C:\Windows\System32\Drivers\avgntflt.sys [88288 2011-10-27] (Avira GmbH)
1 avipbb; C:\Windows\System32\Drivers\avipbb.sys [123784 2011-10-27] (Avira GmbH)
3 NAVENG; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20090829.019\ENG64.SYS [116272 2009-08-29] (Symantec Corporation)
3 NAVEX15; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20090829.019\EX64.SYS [1742896 2009-08-29] (Symantec Corporation)
1 SRTSP; C:\Windows\system32\drivers\NISx64\1100000.088\SRTSP64.SYS [504880 2009-08-29] (Symantec Corporation)
1 SRTSPX; C:\Windows\system32\drivers\NISx64\1100000.088\SRTSPX64.SYS [32304 2009-08-29] (Symantec Corporation)
0 dmboot; [x]

==================== NetSvcs (Whitelisted) ====================

==================== One Month Created Files and Folders ========

2013-01-25 01:31 - 2013-01-25 01:31 - 00270112 ____A C:\Windows\Minidump\012513-28111-01.dmp
2013-01-25 01:17 - 2013-01-25 01:18 - 00270112 ____A C:\Windows\Minidump\012513-27674-01.dmp
2013-01-25 01:14 - 2013-01-25 01:14 - 00274296 ____A C:\Windows\Minidump\012513-28142-01.dmp
2013-01-24 23:44 - 2013-01-24 23:44 - 00274296 ____A C:\Windows\Minidump\012513-80184-01.dmp
2013-01-24 04:24 - 2013-01-24 04:25 - 00274296 ____A C:\Windows\Minidump\012413-81198-01.dmp
2013-01-24 04:22 - 2013-01-24 04:22 - 00274296 ____A C:\Windows\Minidump\012413-79903-01.dmp
2013-01-24 04:19 - 2013-01-24 04:19 - 00274296 ____A C:\Windows\Minidump\012413-81151-01.dmp
2013-01-24 02:38 - 2013-01-24 02:38 - 00274296 ____A C:\Windows\Minidump\012413-81011-01.dmp
2013-01-24 02:36 - 2013-01-24 02:36 - 00000000 ____D C:\Users\All Users\HitmanPro
2013-01-24 02:36 - 2013-01-24 02:36 - 00000000 ____A C:\Users\All Users\zdqe6zww.dat
2013-01-23 04:17 - 2013-01-25 07:48 - 95023320 ___AT C:\Users\All Users\jedTn9l.pad
2013-01-23 04:17 - 2013-01-23 04:17 - 00003226 ____A C:\Users\All Users\jedTn9l.js
2013-01-23 04:17 - 2013-01-23 04:17 - 00000153 ____A C:\Users\All Users\jedTn9l.reg
2013-01-23 04:17 - 2013-01-23 04:17 - 00000080 ____A C:\Users\All Users\jedTn9l.bat
2013-01-16 07:42 - 2013-01-16 07:42 - 00012215 ____A C:\Users\Thomas\Documents\Lohnkonto calc.ods
2013-01-16 06:06 - 2013-01-16 07:41 - 00018675 ____A C:\Users\Thomas\Documents\Wiegmann.ods
2013-01-16 06:05 - 2013-01-16 06:44 - 00013726 ____A C:\Users\Thomas\Documents\Bischoff.ods
2013-01-16 06:05 - 2013-01-16 06:05 - 00018989 ____A C:\Users\Thomas\Documents\Erfurt.ods
2013-01-16 06:05 - 2013-01-16 06:05 - 00007051 ____A C:\Users\Thomas\Documents\Barthel.ods
2013-01-15 06:53 - 2013-01-15 07:29 - 00017279 ____A C:\Users\Thomas\Documents\Wild World.gpx
2013-01-14 02:06 - 2013-01-14 02:47 - 00016582 ____A C:\Users\Thomas\Documents\Private Dancer.gpx
2013-01-09 18:05 - 2013-01-09 18:06 - 00262326 ____A C:\Windows\msxml4-KB2758694-enu.LOG
2013-01-09 06:47 - 2012-12-07 05:20 - 00441856 ____A (Microsoft Corporation) C:\Windows\System32\Wpc.dll
2013-01-09 06:47 - 2012-12-07 05:15 - 02746368 ____A (Microsoft Corporation) C:\Windows\System32\gameux.dll
2013-01-09 06:47 - 2012-12-07 04:26 - 00308736 ____A (Microsoft Corporation) C:\Windows\SysWOW64\Wpc.dll
2013-01-09 06:47 - 2012-12-07 04:20 - 02576384 ____A (Microsoft Corporation) C:\Windows\SysWOW64\gameux.dll
2013-01-09 06:47 - 2012-12-07 03:20 - 00045568 ____A (Microsoft) C:\Windows\System32\oflc-nz.rs
2013-01-09 06:47 - 2012-12-07 03:20 - 00044544 ____A (Microsoft) C:\Windows\System32\pegibbfc.rs
2013-01-09 06:47 - 2012-12-07 03:20 - 00043520 ____A (Microsoft) C:\Windows\System32\csrr.rs
2013-01-09 06:47 - 2012-12-07 03:20 - 00030720 ____A (Microsoft) C:\Windows\System32\usk.rs
2013-01-09 06:47 - 2012-12-07 03:20 - 00023552 ____A (Microsoft) C:\Windows\System32\oflc.rs
2013-01-09 06:47 - 2012-12-07 03:20 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi-pt.rs
2013-01-09 06:47 - 2012-12-07 03:20 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi-fi.rs
2013-01-09 06:47 - 2012-12-07 03:19 - 00055296 ____A (Microsoft) C:\Windows\System32\cero.rs
2013-01-09 06:47 - 2012-12-07 03:19 - 00051712 ____A (Microsoft) C:\Windows\System32\esrb.rs
2013-01-09 06:47 - 2012-12-07 03:19 - 00046592 ____A (Microsoft) C:\Windows\System32\fpb.rs
2013-01-09 06:47 - 2012-12-07 03:19 - 00040960 ____A (Microsoft) C:\Windows\System32\cob-au.rs
2013-01-09 06:47 - 2012-12-07 03:19 - 00021504 ____A (Microsoft) C:\Windows\System32\grb.rs
2013-01-09 06:47 - 2012-12-07 03:19 - 00020480 ____A (Microsoft) C:\Windows\System32\pegi.rs
2013-01-09 06:47 - 2012-12-07 03:19 - 00015360 ____A (Microsoft) C:\Windows\System32\djctq.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00055296 ____A (Microsoft) C:\Windows\SysWOW64\cero.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00051712 ____A (Microsoft) C:\Windows\SysWOW64\esrb.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00046592 ____A (Microsoft) C:\Windows\SysWOW64\fpb.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00045568 ____A (Microsoft) C:\Windows\SysWOW64\oflc-nz.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00044544 ____A (Microsoft) C:\Windows\SysWOW64\pegibbfc.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00043520 ____A (Microsoft) C:\Windows\SysWOW64\csrr.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00040960 ____A (Microsoft) C:\Windows\SysWOW64\cob-au.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00030720 ____A (Microsoft) C:\Windows\SysWOW64\usk.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00023552 ____A (Microsoft) C:\Windows\SysWOW64\oflc.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00021504 ____A (Microsoft) C:\Windows\SysWOW64\grb.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00020480 ____A (Microsoft) C:\Windows\SysWOW64\pegi-pt.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00020480 ____A (Microsoft) C:\Windows\SysWOW64\pegi-fi.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00020480 ____A (Microsoft) C:\Windows\SysWOW64\pegi.rs
2013-01-09 06:47 - 2012-12-07 02:46 - 00015360 ____A (Microsoft) C:\Windows\SysWOW64\djctq.rs
2013-01-09 06:46 - 2012-11-08 21:45 - 00750592 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-01-09 06:46 - 2012-11-08 20:43 - 00492032 ____A (Microsoft Corporation) C:\Windows\SysWOW64\win32spl.dll
2013-01-09 06:44 - 2012-11-21 21:44 - 00800768 ____A (Microsoft Corporation) C:\Windows\System32\usp10.dll
2013-01-09 06:44 - 2012-11-21 20:45 - 00626688 ____A (Microsoft Corporation) C:\Windows\SysWOW64\usp10.dll
2013-01-09 06:44 - 2012-11-19 21:48 - 00307200 ____A (Microsoft Corporation) C:\Windows\System32\ncrypt.dll
2013-01-09 06:44 - 2012-11-19 20:51 - 00220160 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ncrypt.dll
2013-01-09 06:44 - 2012-10-31 21:43 - 02002432 ____A (Microsoft Corporation) C:\Windows\System32\msxml6.dll
2013-01-09 06:44 - 2012-10-31 21:43 - 01882624 ____A (Microsoft Corporation) C:\Windows\System32\msxml3.dll
2013-01-09 06:44 - 2012-10-31 20:47 - 01389568 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msxml6.dll
2013-01-09 06:44 - 2012-10-31 20:47 - 01236992 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msxml3.dll
2013-01-09 06:43 - 2012-11-29 21:45 - 00362496 ____A (Microsoft Corporation) C:\Windows\System32\wow64win.dll
2013-01-09 06:43 - 2012-11-29 21:45 - 00243200 ____A (Microsoft Corporation) C:\Windows\System32\wow64.dll
2013-01-09 06:43 - 2012-11-29 21:45 - 00215040 ____A (Microsoft Corporation) C:\Windows\System32\winsrv.dll
2013-01-09 06:43 - 2012-11-29 21:45 - 00013312 ____A (Microsoft Corporation) C:\Windows\System32\wow64cpu.dll
2013-01-09 06:43 - 2012-11-29 21:43 - 00016384 ____A (Microsoft Corporation) C:\Windows\System32\ntvdm64.dll
2013-01-09 06:43 - 2012-11-29 21:41 - 01161216 ____A (Microsoft Corporation) C:\Windows\System32\kernel32.dll
2013-01-09 06:43 - 2012-11-29 21:41 - 00424448 ____A (Microsoft Corporation) C:\Windows\System32\KernelBase.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00006144 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-security-base-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00005120 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-file-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-threadpool-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00004608 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processthreads-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-sysinfo-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-synch-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localregistry-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00004096 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-localization-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-processenvironment-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-namedpipe-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-misc-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-memory-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-libraryloader-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-heap-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-xstate-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-util-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-string-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-profile-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-io-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-interlocked-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-handle-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-fibers-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-errorhandling-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-delayload-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-debug-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-datetime-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 21:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\System32\api-ms-win-core-console-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:54 - 00005120 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wow32.dll
2013-01-09 06:43 - 2012-11-29 20:53 - 01114112 ____A (Microsoft Corporation) C:\Windows\SysWOW64\kernel32.dll
2013-01-09 06:43 - 2012-11-29 20:53 - 00274944 ____A (Microsoft Corporation) C:\Windows\SysWOW64\KernelBase.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00005120 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-file-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00004608 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processthreads-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-sysinfo-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-synch-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-misc-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localregistry-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00004096 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-localization-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-processenvironment-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-namedpipe-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-memory-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-libraryloader-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-interlocked-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-heap-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-string-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-rtlsupport-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-profile-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-io-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-handle-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-fibers-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-errorhandling-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-delayload-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-debug-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-datetime-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 20:45 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-console-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 19:23 - 00338432 ____A (Microsoft Corporation) C:\Windows\System32\conhost.exe
2013-01-09 06:43 - 2012-11-29 18:44 - 00025600 ____A (Microsoft Corporation) C:\Windows\SysWOW64\setup16.exe
2013-01-09 06:43 - 2012-11-29 18:44 - 00014336 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntvdm64.dll
2013-01-09 06:43 - 2012-11-29 18:44 - 00007680 ____A (Microsoft Corporation) C:\Windows\SysWOW64\instnm.exe
2013-01-09 06:43 - 2012-11-29 18:44 - 00002048 ____A (Microsoft Corporation) C:\Windows\SysWOW64\user.exe
2013-01-09 06:43 - 2012-11-29 18:38 - 00006144 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-security-base-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 18:38 - 00004608 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-threadpool-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 18:38 - 00003584 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-xstate-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 18:38 - 00003072 ___AH (Microsoft Corporation) C:\Windows\SysWOW64\api-ms-win-core-util-l1-1-0.dll
2013-01-09 06:43 - 2012-11-29 15:17 - 00420064 ____A C:\Windows\SysWOW64\locale.nls
2013-01-09 06:43 - 2012-11-29 15:15 - 00420064 ____A C:\Windows\System32\locale.nls
2013-01-09 06:43 - 2012-11-22 19:26 - 03149824 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-01-09 06:43 - 2012-11-22 19:13 - 00068608 ____A (Microsoft Corporation) C:\Windows\System32\taskhost.exe

==================== One Month Modified Files and Folders =======

2013-01-25 08:49 - 2011-05-25 23:45 - 00000000 ____D C:\Users\All Users\Recovery
2013-01-25 07:48 - 2013-01-23 04:17 - 95023320 ___AT C:\Users\All Users\jedTn9l.pad
2013-01-25 07:48 - 2009-07-13 21:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-01-25 07:48 - 2009-07-13 20:51 - 00033636 ____A C:\Windows\setupact.log
2013-01-25 01:38 - 2013-01-25 01:38 - 00000000 ____D C:\FRST
2013-01-25 01:38 - 2010-09-23 08:07 - 00917320 ____A C:\Windows\System32\perfh007.dat
2013-01-25 01:38 - 2010-09-23 08:07 - 00233234 ____A C:\Windows\System32\perfc007.dat
2013-01-25 01:38 - 2009-07-13 21:13 - 02193496 ____A C:\Windows\System32\PerfStringBackup.INI
2013-01-25 01:31 - 2013-01-25 01:31 - 00270112 ____A C:\Windows\Minidump\012513-28111-01.dmp
2013-01-25 01:31 - 2011-07-21 14:43 - 00000000 ____D C:\Windows\Minidump
2013-01-25 01:30 - 2011-07-21 14:43 - 306896670 ____A C:\Windows\MEMORY.DMP
2013-01-25 01:18 - 2013-01-25 01:17 - 00270112 ____A C:\Windows\Minidump\012513-27674-01.dmp
2013-01-25 01:14 - 2013-01-25 01:14 - 00274296 ____A C:\Windows\Minidump\012513-28142-01.dmp
2013-01-24 23:44 - 2013-01-24 23:44 - 00274296 ____A C:\Windows\Minidump\012513-80184-01.dmp
2013-01-24 04:25 - 2013-01-24 04:24 - 00274296 ____A C:\Windows\Minidump\012413-81198-01.dmp
2013-01-24 04:22 - 2013-01-24 04:22 - 00274296 ____A C:\Windows\Minidump\012413-79903-01.dmp
2013-01-24 04:19 - 2013-01-24 04:19 - 00274296 ____A C:\Windows\Minidump\012413-81151-01.dmp
2013-01-24 02:51 - 2011-02-12 03:03 - 02050287 ____A C:\Windows\WindowsUpdate.log
2013-01-24 02:51 - 2009-07-13 20:45 - 00009696 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-01-24 02:51 - 2009-07-13 20:45 - 00009696 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-01-24 02:38 - 2013-01-24 02:38 - 00274296 ____A C:\Windows\Minidump\012413-81011-01.dmp
2013-01-24 02:36 - 2013-01-24 02:36 - 00000000 ____D C:\Users\All Users\HitmanPro
2013-01-24 02:36 - 2013-01-24 02:36 - 00000000 ____A C:\Users\All Users\zdqe6zww.dat
2013-01-23 05:06 - 2012-09-06 07:41 - 00000884 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-01-23 04:26 - 2011-02-12 03:52 - 00040876 ____A C:\Windows\PFRO.log
2013-01-23 04:17 - 2013-01-23 04:17 - 00003226 ____A C:\Users\All Users\jedTn9l.js
2013-01-23 04:17 - 2013-01-23 04:17 - 00000153 ____A C:\Users\All Users\jedTn9l.reg
2013-01-23 04:17 - 2013-01-23 04:17 - 00000080 ____A C:\Users\All Users\jedTn9l.bat
2013-01-16 07:42 - 2013-01-16 07:42 - 00012215 ____A C:\Users\Thomas\Documents\Lohnkonto calc.ods
2013-01-16 07:41 - 2013-01-16 06:06 - 00018675 ____A C:\Users\Thomas\Documents\Wiegmann.ods
2013-01-16 06:44 - 2013-01-16 06:05 - 00013726 ____A C:\Users\Thomas\Documents\Bischoff.ods
2013-01-16 06:07 - 2012-04-04 07:51 - 00000000 ____D C:\Users\Thomas\Documents\Datev
2013-01-16 06:05 - 2013-01-16 06:05 - 00018989 ____A C:\Users\Thomas\Documents\Erfurt.ods
2013-01-16 06:05 - 2013-01-16 06:05 - 00007051 ____A C:\Users\Thomas\Documents\Barthel.ods
2013-01-15 07:29 - 2013-01-15 06:53 - 00017279 ____A C:\Users\Thomas\Documents\Wild World.gpx
2013-01-14 02:47 - 2013-01-14 02:06 - 00016582 ____A C:\Users\Thomas\Documents\Private Dancer.gpx
2013-01-11 02:35 - 2009-07-13 19:20 - 00000000 ____D C:\Windows\rescache
2013-01-10 03:02 - 2012-10-08 07:43 - 00000000 ____D C:\Users\Thomas\AppData\Local\FRITZ!
2013-01-09 18:46 - 2009-07-13 20:45 - 00271064 ____A C:\Windows\System32\FNTCACHE.DAT
2013-01-09 18:42 - 2011-10-04 22:20 - 00000000 ____D C:\Users\Thomas\AppData\Roaming\SoftGrid Client
2013-01-09 18:26 - 2011-02-12 07:03 - 02170454 ____A C:\Windows\SysWOW64\PerfStringBackup.INI
2013-01-09 18:18 - 2012-09-05 04:47 - 67599240 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-01-09 18:06 - 2013-01-09 18:05 - 00262326 ____A C:\Windows\msxml4-KB2758694-enu.LOG
2013-01-09 05:10 - 2012-09-06 07:41 - 00697864 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-01-09 05:10 - 2012-02-16 02:55 - 00074248 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-01-07 00:41 - 2009-07-13 21:32 - 00000000 ____D C:\Windows\System32\FxsTmp

==================== Known DLLs (Whitelisted) =================

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

Restore point made on: 2012-12-18 00:14:22
Restore point made on: 2012-12-21 01:47:16
Restore point made on: 2012-12-21 18:00:44
Restore point made on: 2013-01-01 13:01:26
Restore point made on: 2013-01-01 13:04:09
Restore point made on: 2013-01-07 00:51:31
Restore point made on: 2013-01-09 18:03:23
Restore point made on: 2013-01-14 22:34:43
Restore point made on: 2013-01-17 23:46:55
Restore point made on: 2013-01-22 02:09:11

==================== Memory info ===========================

Percentage of memory in use: 24%
Total physical RAM: 2815.29 MB
Available physical RAM: 2119.66 MB
Total Pagefile: 2813.43 MB
Available Pagefile: 2099.55 MB
Total Virtual: 8192 MB
Available Virtual: 8191.91 MB

==================== Partitions =============================

1 Drive c: (COMPAQ) (Fixed) (Total:455.72 GB) (Free:377.44 GB) NTFS
2 Drive e: (FACTORY_IMAGE) (Fixed) (Total:9.94 GB) (Free:1.01 GB) NTFS ==>[System with boot components (obtained from reading drive)]
5 Drive h: (HITMANPRO) (Removable) (Total:1.87 GB) (Free:1.87 GB) FAT32
6 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
7 Drive y: (System) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

Disk ### Status Size Free Dyn Gpt
-------- ------------- ------- ------- --- ---
Disk 0 Online 465 GB 0 B
Disk 1 No Media 0 B 0 B
Disk 2 Online 1923 MB 0 B

Partitions of Disk 0:
===============

Disk ID: 9A76CDA3

Partition ### Type Size Offset
------------- ---------------- ------- -------
Partition 1 Primary 100 MB 1024 KB
Partition 2 Primary 455 GB 101 MB
Partition 3 Primary 9 GB 455 GB

==================================================================================

Disk: 0
Partition 1
Type : 07
Hidden: No
Active: Yes

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 Y System NTFS Partition 100 MB Healthy

=========================================================

Disk: 0
Partition 2
Type : 07
Hidden: No
Active: No

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 C COMPAQ NTFS Partition 455 GB Healthy

=========================================================

Disk: 0
Partition 3
Type : 07
Hidden: No
Active: No

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 E FACTORY_IMA NTFS Partition 9 GB Healthy

=========================================================

Partitions of Disk 2:
===============

Disk ID: 4B46762D

Partition ### Type Size Offset
------------- ---------------- ------- -------
Partition 1 Primary 1921 MB 31 KB

==================================================================================

Disk: 2
Partition 1
Type : 0B
Hidden: No
Active: Yes

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 5 H HITMANPRO FAT32 Removable 1921 MB Healthy

=========================================================

Last Boot: 2013-01-14 03:29

==================== End Of Log =============================

24.01.2013, 14:28	#4
ryder /// TB-Ausbilder	GVU / mein rechner ist gesperrt Okay und du hast beide Varianten probiert? Ist das XP, Vista, 7 ? __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM! Geändert von ryder (24.01.2013 um 14:37 Uhr)

24.01.2013, 16:35	#6
ryder /// TB-Ausbilder	GVU / mein rechner ist gesperrt Nur noch zur Klarstellung das grüne Fenster von Hitman erschien und du hast weiter geklickt? Ohne Hitman Stick kannst du normal booten bis auf die Tatsache, dass der Trojaner den Bildschirm sperrt? __________________ --> GVU / mein rechner ist gesperrt

25.01.2013, 17:28	#12
ryder /// TB-Ausbilder	GVU / mein rechner ist gesperrt Du hast aber ein 64bit System __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

25.01.2013, 17:33	#14
ryder /// TB-Ausbilder	GVU / mein rechner ist gesperrt Ich weiß nicht was du mir sagen willst. __________________ Digitale Freibeuter gegen Malware! Keine Hilfe per PM!

GVU / mein rechner ist gesperrt

Plagegeister aller Art und deren Bekämpfung: GVU / mein rechner ist gesperrt