Wegen "MitB" internetbanking von Sparkasse gesperrt.

seebaer · 24.01.2013, 18:24

Guten Tag,
bin neu hier und habe eigentlich wenig Kenntnisse über das Innenleben meines Rechners.
Bekam den Anruf meiner Sparkasse, dss mein Internetbanking gesperrt ist, da auf meinem Rechner die Einlogdaten durch MitB ausgespäht worden seien. Ich habe mein Avira Antivierenprogramm aktualisier und eien Scan durchgeführt.
Hier das Logfile:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 24. Januar 2013 13:18

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Microsoft Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : Manfred Müllenschläd
Computername : LAPTOP

Versionsinformationen:
BUILD.DAT : 13.0.0.2890 48567 Bytes 05.12.2012 17:11:00
AVSCAN.EXE : 13.6.0.402 639264 Bytes 04.12.2012 14:37:48
AVSCANRC.DLL : 13.4.0.360 64800 Bytes 28.11.2012 14:09:16
LUKE.DLL : 13.6.0.400 67360 Bytes 04.12.2012 11:13:06
AVSCPLR.DLL : 13.6.0.402 93984 Bytes 04.12.2012 14:37:56
AVREG.DLL : 13.6.0.406 248096 Bytes 04.12.2012 17:40:32
avlode.dll : 13.6.1.402 428832 Bytes 04.12.2012 14:36:58
avlode.rdf : 13.0.0.26 7958 Bytes 22.11.2012 10:59:18
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 13:50:30
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 13:50:32
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 13:50:36
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 13:50:38
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 13:50:38
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 13:42:42
VBASE006.VDF : 7.11.41.250 4902400 Bytes 06.09.2012 13:42:42
VBASE007.VDF : 7.11.50.230 3904512 Bytes 22.11.2012 12:43:12
VBASE008.VDF : 7.11.55.142 2214912 Bytes 03.01.2013 12:04:22
VBASE009.VDF : 7.11.55.143 2048 Bytes 03.01.2013 12:04:22
VBASE010.VDF : 7.11.55.144 2048 Bytes 03.01.2013 12:04:22
VBASE011.VDF : 7.11.55.145 2048 Bytes 03.01.2013 12:04:24
VBASE012.VDF : 7.11.55.146 2048 Bytes 03.01.2013 12:04:24
VBASE013.VDF : 7.11.55.196 260096 Bytes 04.01.2013 12:04:24
VBASE014.VDF : 7.11.56.23 206848 Bytes 07.01.2013 12:04:24
VBASE015.VDF : 7.11.56.83 186880 Bytes 08.01.2013 12:04:24
VBASE016.VDF : 7.11.56.145 135168 Bytes 09.01.2013 12:04:26
VBASE017.VDF : 7.11.56.211 139776 Bytes 11.01.2013 12:04:26
VBASE018.VDF : 7.11.57.11 153088 Bytes 13.01.2013 12:04:26
VBASE019.VDF : 7.11.57.75 165888 Bytes 15.01.2013 12:04:26
VBASE020.VDF : 7.11.57.163 190976 Bytes 17.01.2013 12:04:26
VBASE021.VDF : 7.11.57.219 119808 Bytes 18.01.2013 12:04:26
VBASE022.VDF : 7.11.58.7 167936 Bytes 21.01.2013 12:04:28
VBASE023.VDF : 7.11.58.49 140288 Bytes 22.01.2013 12:04:28
VBASE024.VDF : 7.11.58.119 137728 Bytes 24.01.2013 12:04:28
VBASE025.VDF : 7.11.58.120 2048 Bytes 24.01.2013 12:04:28
VBASE026.VDF : 7.11.58.121 2048 Bytes 24.01.2013 12:04:28
VBASE027.VDF : 7.11.58.122 2048 Bytes 24.01.2013 12:04:28
VBASE028.VDF : 7.11.58.123 2048 Bytes 24.01.2013 12:04:28
VBASE029.VDF : 7.11.58.124 2048 Bytes 24.01.2013 12:04:28
VBASE030.VDF : 7.11.58.125 2048 Bytes 24.01.2013 12:04:28
VBASE031.VDF : 7.11.58.132 8192 Bytes 24.01.2013 12:04:28
Engineversion : 8.2.10.236
AEVDF.DLL : 8.1.2.10 102772 Bytes 19.09.2012 13:42:56
AESCRIPT.DLL : 8.1.4.82 467323 Bytes 24.01.2013 12:04:38
AESCN.DLL : 8.1.10.0 131445 Bytes 24.01.2013 12:04:38
AESBX.DLL : 8.2.5.12 606578 Bytes 28.08.2012 15:58:08
AERDL.DLL : 8.2.0.88 643444 Bytes 24.01.2013 12:04:38
AEPACK.DLL : 8.3.1.2 819574 Bytes 24.01.2013 12:04:36
AEOFFICE.DLL : 8.1.2.50 201084 Bytes 05.11.2012 14:00:40
AEHEUR.DLL : 8.1.4.180 5665144 Bytes 24.01.2013 12:04:36
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 14:52:34
AEGEN.DLL : 8.1.6.14 434548 Bytes 24.01.2013 12:04:30
AEEXP.DLL : 8.3.0.12 188789 Bytes 24.01.2013 12:04:38
AEEMU.DLL : 8.1.3.2 393587 Bytes 19.09.2012 13:42:56
AECORE.DLL : 8.1.30.0 201079 Bytes 24.01.2013 12:04:30
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 14:00:40
AVWINLL.DLL : 13.4.0.163 25888 Bytes 19.09.2012 17:09:32
AVPREF.DLL : 13.4.0.360 50464 Bytes 28.11.2012 14:05:54
AVREP.DLL : 13.4.0.360 177952 Bytes 28.11.2012 14:06:12
AVARKT.DLL : 13.6.0.402 260384 Bytes 04.12.2012 14:36:04
AVEVTLOG.DLL : 13.6.0.400 167200 Bytes 04.12.2012 11:04:04
SQLITE3.DLL : 3.7.0.1 397088 Bytes 19.09.2012 17:17:42
AVSMTP.DLL : 13.4.0.163 62240 Bytes 19.09.2012 17:08:56
NETNT.DLL : 13.4.0.360 15648 Bytes 28.11.2012 14:07:52
RCIMAGE.DLL : 13.4.0.360 4780832 Bytes 28.11.2012 14:09:42
RCTEXT.DLL : 13.4.0.360 68384 Bytes 28.11.2012 14:09:42

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Programme\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Donnerstag, 24. Januar 2013 13:18

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Fehler in der ARK Library

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'msdtc.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '120' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '74' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaUI.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '20' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'mouse32a.exe' - '17' Modul(e) wurden durchsucht
Durchsuche Prozess 'QtZgAcer.EXE' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '107' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'RalinkRegistryWriter.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'devolonetsvc.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'anbmServ.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '166' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ati2evxx.exe' - '11' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1823' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\Dokumente und Einstellungen\Manfred Müllenschläd\Lokale Einstellungen\Temp\jar_cache6725916240144384011.tmp
[0] Archivtyp: ZIP
--> Beod.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Treams.JC.1
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Dobvy.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.QK.4
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Ggps.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Strex.AT.1
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Hammal.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.QU.2
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> MErcmuto.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Karamel.BQ.2
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Tiodia.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.RD.1
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Voico.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Larmac.C
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
--> Mukkio.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.QK.4
[WARNUNG] Infizierte Dateien in Archiven können nicht repariert werden
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP2167\A0490525.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.akh.1.1
Beginne mit der Suche in 'D:\' <ACERDATA>
D:\XNH\UltraVNC\Mani_WC\webcamDE\freecam.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/Agent.A.82

Beginne mit der Desinfektion:
D:\XNH\UltraVNC\Mani_WC\webcamDE\freecam.exe
[FUND] Enthält Erkennungsmuster der Adware ADWARE/Agent.A.82
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5253ed39.qua' verschoben!
C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP2167\A0490525.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.akh.1.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a97c2dd.qua' verschoben!
C:\Dokumente und Einstellungen\Manfred Müllenschläd\Lokale Einstellungen\Temp\jar_cache6725916240144384011.tmp
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Lamar.QK.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '188e9806.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 24. Januar 2013 15:44
Benötigte Zeit: 1:20:08 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7049 Verzeichnisse wurden überprüft
457968 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
457958 Dateien ohne Befall
8479 Archive wurden durchsucht
8 Warnungen
3 Hinweise
39 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Habe dann Mawarebytes instliert und einen Scan durchgeführt:
Hier das Ergeniss:

Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.01.24.09

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
Manfred Müllenschläd :: LAPTOP [Administrator]

Schutz: Aktiviert

24.01.2013 17:16:47
mbam-log-2013-01-24 (17-16-47).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 187560
Laufzeit: 6 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\61335523 (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\All Users\Startmenü\Antivirus Scan.url (Trojan.Zlob) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Spyware Test.url (Trojan.Zlob) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Hoffe ich habe bisher alles rictig gemacht.

Bitte um Eure Hilfe, damit mein Rechner wieder sauber wird, und ich fällige Zahlungen wieder vornehmen kann.

Danke im Voraus.

markusg · 24.01.2013, 19:18

hi
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die
Textbox.

Code:

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
C:\Windows\system32\*.tsp
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%USERPROFILE%\*.*
%USERPROFILE%\Local Settings\Temp\*.exe
%USERPROFILE%\Local Settings\Temp\*.dll
%USERPROFILE%\Application Data\*.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

seebaer · 25.01.2013, 09:04

Hallo Markus,
hier der otl.txtOTL Logfile:

Code:

ATTFilter

OTL logfile created on: 25.01.2013 08:21:31 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Manfred Müllenschläd\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1022,42 Mb Total Physical Memory | 550,23 Mb Available Physical Memory | 53,82% Memory free
1,91 Gb Paging File | 1,47 Gb Available in Paging File | 76,96% Paging File free
Paging file location(s): D:\pagefile.sys 1024 1024 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 17,59 Gb Total Space | 1,56 Gb Free Space | 8,87% Space Free | Partition Type: FAT32
Drive D: | 17,69 Gb Total Space | 0,63 Gb Free Space | 3,56% Space Free | Partition Type: FAT32
 
Computer Name: LAPTOP | User Name: Manfred Müllenschläd | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.01.25 08:17:52 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Desktop\OTL.exe
PRC - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2012.12.14 16:49:28 | 000,512,360 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2012.12.04 15:36:50 | 000,384,800 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.12.04 12:13:52 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.12.04 12:04:26 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.11.21 19:00:04 | 000,079,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.09.17 12:41:54 | 000,254,896 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2012.02.28 15:09:18 | 003,128,856 | ---- | M] (devolo AG) -- C:\Programme\devolo\dlan\devolonetsvc.exe
PRC - [2008.09.05 10:23:20 | 000,075,040 | ---- | M] (Ralink Technology, Corp.) -- C:\Programme\Ralink\Common\RalinkRegistryWriter.exe
PRC - [2008.09.05 10:13:18 | 001,630,208 | ---- | M] (Ralink Technology, Corp.) -- C:\Programme\Ralink\Common\RaUI.exe
PRC - [2008.07.22 22:44:06 | 000,357,376 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe
PRC - [2008.04.14 04:22:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2005.04.21 13:54:24 | 000,360,448 | ---- | M] () -- C:\Programme\Browser MOUSE\mouse32a.exe
PRC - [2004.07.05 18:52:56 | 000,315,392 | ---- | M] (Dritek System Inc.) -- C:\Programme\Launch Manager\QtZgAcer.EXE
PRC - [2004.07.05 17:51:04 | 001,286,144 | ---- | M] (OSA Technologies Inc.) -- C:\Acer\eManager\anbmServ.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.09.19 18:17:42 | 000,397,088 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2008.02.25 22:23:10 | 000,116,224 | ---- | M] () -- C:\WINDOWS\system32\redmonnt.dll
MOD - [2007.11.28 04:32:00 | 001,163,264 | ---- | M] () -- C:\Programme\Ralink\Common\acAuth.dll
MOD - [2005.04.21 13:54:24 | 000,360,448 | ---- | M] () -- C:\Programme\Browser MOUSE\mouse32a.exe
MOD - [2005.04.21 13:54:24 | 000,057,344 | ---- | M] () -- C:\Programme\Browser MOUSE\mouDL32A.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.12.04 12:13:52 | 000,085,280 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.12.04 12:04:26 | 000,109,344 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.02.28 15:09:18 | 003,128,856 | ---- | M] (devolo AG) [Auto | Running] -- C:\Programme\devolo\dlan\devolonetsvc.exe -- (DevoloNetworkService)
SRV - [2008.09.05 10:23:20 | 000,075,040 | ---- | M] (Ralink Technology, Corp.) [Auto | Running] -- C:\Programme\Ralink\Common\RalinkRegistryWriter.exe -- (RalinkRegistryWriter)
SRV - [2005.04.04 00:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2004.07.05 17:51:04 | 001,286,144 | ---- | M] (OSA Technologies Inc.) [Auto | Running] -- C:\Acer\eManager\anbmServ.exe -- (anbmService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbser6k.sys -- (ZTEusbser6k)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbnmea.sys -- (ZTEusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ZTEusbmdm6k.sys -- (ZTEusbmdm6k)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\usbaapl.sys -- (USBAAPL)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\SophosMEMSWEEP.SYS -- (MEMSWEEP2)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbdev.sys -- (hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbmdm.sys -- (hwdatacard)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jubusenum.sys -- (huawei_enumerator)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_jucdcacm.sys -- (huawei_cdcacm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\ewfiltertdidriver.sys -- (filtertdidriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ewusbnet.sys -- (ewusbnet)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ew_hwusbdev.sys -- (ew_hwusbdev)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\DOKUME~1\MANFRE~1\LOKALE~1\Temp\cpuz132\cpuz132_x32.sys -- (cpuz132)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btwusb.sys -- (BTWUSB)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btwdndis.sys -- (BTWDNDIS)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btkrnl.sys -- (BTKRNL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btport.sys -- (BTDriver)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\btaudio.sys -- (btaudio)
DRV - [2012.12.14 16:49:28 | 000,021,104 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012.11.27 10:01:28 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.11.22 15:51:14 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012.11.22 15:50:52 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.08.27 14:50:26 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2012.01.31 17:41:08 | 000,035,840 | ---- | M] (CACE Technologies) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\npf_devolo.sys -- (NPF_devolo)
DRV - [2008.08.28 16:52:36 | 000,627,072 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rt2870.sys -- (rt2870)
DRV - [2008.08.07 14:42:36 | 000,016,512 | ---- | M] (Ralink Technology, Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RAPIProtocol.sys -- (RAPIProtocol)
DRV - [2008.04.13 20:46:22 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2008.04.13 20:36:34 | 000,016,000 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\smbbatt.sys -- (SMBBATT)
DRV - [2007.06.14 14:41:00 | 000,466,048 | ---- | M] (LITEON) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ltn_stk7070P.sys -- (Ltn_stk7070P)
DRV - [2007.06.13 19:30:20 | 000,013,440 | ---- | M] (LITEON) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ltn_stkrc.sys -- (Ltn_stkrc)
DRV - [2006.09.12 21:21:46 | 000,292,864 | ---- | M] (eMPIA Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\emBDA.sys -- (USB28xxBGA)
DRV - [2006.08.21 23:38:46 | 000,007,168 | ---- | M] (eMPIA Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\emOEM.sys -- (USB28xxOEM)
DRV - [2005.08.24 13:49:04 | 000,030,189 | ---- | M] (Broadcom Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btwmodem.sys -- (btwmodem)
DRV - [2005.08.24 06:39:24 | 000,137,884 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sscdmdm.sys -- (sscdmdm)
DRV - [2005.08.24 06:39:24 | 000,080,272 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sscdbus.sys -- (sscdbus)
DRV - [2005.08.24 06:39:24 | 000,010,864 | R--- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sscdmdfl.sys -- (sscdmdfl)
DRV - [2004.06.01 15:28:50 | 000,010,386 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\osaio.sys -- (osaio)
DRV - [2004.05.31 18:46:38 | 000,004,054 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\osanbm.sys -- (osanbm)
DRV - [2004.05.26 10:07:30 | 000,067,584 | ---- | M] (Texas Instruments) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\tifm21.sys -- (tifm21)
DRV - [2004.05.15 22:41:40 | 000,745,984 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2004.04.30 05:10:06 | 000,274,688 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\camchal.sys -- (CAMCHALA)
DRV - [2004.04.30 05:09:20 | 000,292,352 | ---- | M] (Conexant Systems Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\camcaud.sys -- (CAMCAUD)
DRV - [2004.03.11 02:40:28 | 000,199,552 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWICH.sys -- (HSFHWICH)
DRV - [2004.03.11 02:37:26 | 000,682,624 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2004.03.11 02:35:48 | 001,041,536 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DP.sys -- (HSF_DP)
DRV - [2004.03.08 18:43:10 | 001,657,344 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\w22n51.sys -- (w22n51)
DRV - [2003.09.27 01:41:12 | 000,044,032 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\bcm4sbxp.sys -- (bcm4sbxp)
DRV - [2003.05.23 01:47:12 | 000,175,360 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2002.07.02 17:20:52 | 000,070,382 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouFlt2.sys -- (LMouFlt2)
DRV - [2002.07.02 17:20:52 | 000,006,030 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LKbdFlt2.sys -- (LKbdFlt2)
DRV - [2002.07.02 17:20:50 | 000,050,830 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\L8042Pr2.sys -- (l8042pr2)
DRV - [2001.08.17 13:57:56 | 000,006,784 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\smbhc.sys -- (SMBHC)
DRV - [1996.02.26 18:29:18 | 000,006,144 | ---- | M] (Corel Corporation) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\crlscsi.sys -- (crlscsi)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Upgrade to Google Chrome
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 30 5F F2 70 46 45 CD 01  [binary data]
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\..\SearchScopes\{9DA6C109-320F-4611-A05A-5F929E22A88A}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = localhost
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Content Upload Plugin,version=1.0.0: C:\Programme\DivX\DivX Content Uploader\npUpload.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_38: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=12.0.1.609: c:\programme\real\realplayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
[2010.02.05 08:36:12 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
 
O1 HOSTS File: ([2013.01.23 14:03:24 | 000,446,227 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 127.0.0.1	www.007guard.com
O1 - Hosts: 127.0.0.1	007guard.com
O1 - Hosts: 127.0.0.1	008i.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	008k.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	00hq.com
O1 - Hosts: 127.0.0.1	010402.com
O1 - Hosts: 127.0.0.1	www.032439.com
O1 - Hosts: 127.0.0.1	032439.com
O1 - Hosts: 127.0.0.1	å…¨è®¯ç½‘,åšå½©ä¼˜æƒ*,çš‡å†*æ*£ç½‘cr67com,çš‡å†*æ¯”åˆ†,çš‡å†*å³æ—¶æŒ‡æ•°,å¤ªé˜³åŸŽä»£ç†112scg,ttå¨±ä¹åŸŽ8bc8,ç½‘ä¸ŠçœŸé’±å¨±
O1 - Hosts: 127.0.0.1	0scan.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	1000gratisproben.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	1001namen.com
O1 - Hosts: 127.0.0.1	²©²ÊÍ¨,²©²ÊÍø,½ð±¦²©188,²©²ÊÍ¨ÆÀ¼¶,°Ù¼ÒÀÖ,°ÂÃî°Ù¼ÒÀÖ
O1 - Hosts: 127.0.0.1	100888290cs.com
O1 - Hosts: 127.0.0.1	100sexlinks.com - Informationen zum Thema Sex links. Diese Website steht zum Verkauf!
O1 - Hosts: 127.0.0.1	100sexlinks.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	10sek.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 127.0.0.1	1-2005-search.com
O1 - Hosts: 15327 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (no name) - {789131F4-35E7-416B-A1E7-128F37DF8233} - No CLSID value found.
O2 - BHO: (no name) - {84B94901-3645-4D80-A6B7-4D0050B19455} - No CLSID value found.
O2 - BHO: (metaspinner GmbH) - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\PROGRA~1\BUYERT~1\IEBUTT~1.DLL File not found
O2 - BHO: (no name) - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [DataLayer] REM C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe File not found
O4 - HKLM..\Run: [EM_EXEC] REM C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE File not found
O4 - HKLM..\Run: [emMON] REM emMON.exe File not found
O4 - HKLM..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser MOUSE\mouse32a.exe ()
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [HotKey] REM C:\WINDOWS\Twain_32\FlatBed\HotKey.exe File not found
O4 - HKLM..\Run: [KONICA MINOLTA magicolor 2500W STD] C:\WINDOWS\System32\MSTMON02.EXE (KONICA MINOLTA BUSINESS TECHNOLOGIES, INC.)
O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE (Dritek System Inc.)
O4 - HKLM..\Run: [MSPY2002] REM C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC File not found
O4 - HKLM..\Run: [PHIME2002A] REM C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName File not found
O4 - HKLM..\Run: [SnapShotMoniter] REM C:\Programme\GrabShow 110\monitor.exe File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [SynTPEnh] REM C:\Programme\Synaptics\SynTP\SynTPEnh.exe File not found
O4 - HKLM..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [UserFaultCheck] REM %systemroot%\system32\dumprep 0 -u File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ralink Wireless Utility.lnk = C:\Programme\Ralink\Common\RaUI.exe (Ralink Technology, Corp.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O15 - HKCU\..Trusted Domains: rabobank.nl ([bankieren] https in Vertrauenswürdige Sites)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/templates/ieawsdc.cab (Microsoft Office Template and Media Control)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://www.apple.com/qtactivex/qtplugin.cab (Reg Error: Key error.)
O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} https://components.viewpoint.com/adobe/MTSInstallers/MetaStream3.cab?url=hxxp://www.erotiklounge24.com/chats/museum/index.html (Reg Error: Key error.)
O16 - DPF: {1ABA5FAC-1417-422B-BA82-45C35E2C908B} hxxp://kitchenplanner.ikea.com/DE/Core/Player/2020PlayerAX_IKEA_Win32.cab (20-20 3D Viewer for IKEA)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} hxxp://www.cult3d.com/download/cult.cab (Cult3D ActiveX Player)
O16 - DPF: {4B48D5DF-9021-45F7-A240-60304302A215} hxxp://download.microsoft.com/download/5/c/2/5c2fc4b7-3875-4eec-946b-ffe15472cabc/WebCleaner.cab (Malicious Software Removal Tool)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} hxxp://scan.safety.live.com/resource/download/scanner/wlscbase5059.cab (Windows Live Safety Center Base Module)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1104868730461 (WUWebControl Class)
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} hxxp://download.divx.com/player/DivXBrowserPlugin.cab (DivXBrowserPlugin Object)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152201200924 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_38-windows-i586.cab (Java Plug-in 1.6.0_38)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} hxxp://82.93.15.132/activex/AxisCamControl.cab (CamImage Class)
O16 - DPF: {AA0FB75C-C50E-47B6-B7E0-3B9C3FAA8AC4} hxxp://81.69.139.129:8888/Comm/IPCamControl.cab (CamImage Class)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0038-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_38-windows-i586.cab (Java Plug-in 1.6.0_38)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_38-windows-i586.cab (Java Plug-in 1.6.0_38)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} hxxp://www.lidlfoto.com/ips-opdata/layout/lidl01/activex/IPSUploader.cab (IPSUploader Control)
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} https://googleonline.webex.com/client/T26L/nbr/ieatgpc.cab (GpcContainer Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{46147516-27F0-4BA3-98EF-90BA5134C2B3}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.07.06 14:51:54 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ FAT32 ]
O33 - MountPoints2\##mmwc2#D_MMWC2\Shell - "" = AutoRun
O33 - MountPoints2\##mmwc2#D_MMWC2\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\##mmwc2#D_MMWC2\Shell\AutoRun\command - "" = R:\Setup.exe
O33 - MountPoints2\{36fb8150-7c82-11e0-b123-000e35500b62}\Shell - "" = AutoRun
O33 - MountPoints2\{36fb8150-7c82-11e0-b123-000e35500b62}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{36fb8150-7c82-11e0-b123-000e35500b62}\Shell\AutoRun\command - "" = F:\setup.exe
O33 - MountPoints2\{43cdb920-d30a-11e1-bb97-00c09f6bbfb9}\Shell - "" = AutoRun
O33 - MountPoints2\{43cdb920-d30a-11e1-bb97-00c09f6bbfb9}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{43cdb920-d30a-11e1-bb97-00c09f6bbfb9}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{43cdb922-d30a-11e1-bb97-00c09f6bbfb9}\Shell - "" = AutoRun
O33 - MountPoints2\{43cdb922-d30a-11e1-bb97-00c09f6bbfb9}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{43cdb922-d30a-11e1-bb97-00c09f6bbfb9}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{5f017180-7bdf-11e0-b122-00c09f4c6621}\Shell - "" = AutoRun
O33 - MountPoints2\{5f017180-7bdf-11e0-b122-00c09f4c6621}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5f017180-7bdf-11e0-b122-00c09f4c6621}\Shell\AutoRun\command - "" = F:\setup.exe
O33 - MountPoints2\{5f017182-7bdf-11e0-b122-00c09f4c6621}\Shell - "" = AutoRun
O33 - MountPoints2\{5f017182-7bdf-11e0-b122-00c09f4c6621}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{5f017182-7bdf-11e0-b122-00c09f4c6621}\Shell\AutoRun\command - "" = F:\setup.exe
O33 - MountPoints2\{62609b90-d30d-11e1-bb98-00c09f6bbfb9}\Shell - "" = AutoRun
O33 - MountPoints2\{62609b90-d30d-11e1-bb98-00c09f6bbfb9}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{62609b90-d30d-11e1-bb98-00c09f6bbfb9}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O33 - MountPoints2\{6f2bd4d0-d31a-11e1-bb9a-00c09f6bbfb9}\Shell - "" = AutoRun
O33 - MountPoints2\{6f2bd4d0-d31a-11e1-bb9a-00c09f6bbfb9}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6f2bd4d0-d31a-11e1-bb9a-00c09f6bbfb9}\Shell\AutoRun\command - "" = F:\AutoRun.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
ActiveX: {02f78298-8af6-495c-9ecb-b6ae68678186} - KB867282
ActiveX: {04d6265d-6b5d-41c3-9e7c-48be15919643} - KB890923
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015C} - Microsoft DirectX
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {8b15971b-5355-4c82-8c07-7e181ea07608} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.UnInstall.PerUser
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {94de52c8-2d59-4f1b-883e-79663d2d9a8c} - rundll32.exe C:\WINDOWS\system32\Setup\FxsOcm.dll,XP_UninstallProvider
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C3C986D6-06B1-43BF-90DD-BE30756C00DE} - RevokedRootsUpdate
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {eddbec60-89cb-44ef-8291-0850fd28ff6a} - Q832894
ActiveX: {F5776D81-AE53-4935-8E84-B0B283D8BCEF} - Q330994
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpReg: Buyertools Reminder - hkey= - key= -  File not found
MsConfig - StartUpReg: PCSuiteTrayApplication - hkey= - key= -  File not found
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.01.25 08:17:49 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Desktop\OTL.exe
[2013.01.24 17:13:27 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Malwarebytes
[2013.01.24 17:13:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.01.24 17:13:16 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.01.24 17:13:16 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.01.24 13:08:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Avira
[2013.01.24 13:02:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2013.01.24 13:02:28 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2013.01.24 13:02:21 | 000,134,336 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2013.01.24 13:02:21 | 000,036,552 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2013.01.24 13:02:09 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2013.01.24 13:02:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2013.01.24 12:37:07 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Recent
[2013.01.23 20:38:48 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2013.01.23 20:38:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Lokale Einstellungen\Anwendungsdaten\MFAData
[2013.01.23 20:38:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MFAData
[2013.01.23 20:38:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Lokale Einstellungen\Anwendungsdaten\Avg2013
[2004.11.08 21:51:05 | 013,095,560 | R--- | C] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\MpSetup.exe
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.01.25 08:17:52 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Desktop\OTL.exe
[2013.01.25 07:58:42 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.01.25 07:58:38 | 000,000,300 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeLogonTaskS-1-5-21-2317538923-1161744426-439199626-1005.job
[2013.01.25 07:54:20 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.01.24 17:13:20 | 000,000,705 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.24 13:02:54 | 000,001,620 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2013.01.24 12:43:14 | 000,000,308 | ---- | M] () -- C:\WINDOWS\tasks\RealUpgradeScheduledTaskS-1-5-21-2317538923-1161744426-439199626-1005.job
[2013.01.24 11:42:00 | 000,000,428 | ---- | M] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Desktop\Verknüpfung mit DSC_IWF.EXE.lnk
[2013.01.24 11:38:54 | 000,000,047 | ---- | M] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\AETER.IDX
[2013.01.24 11:38:52 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\AETER.DAT
[2013.01.11 18:22:24 | 000,019,708 | ---- | M] () -- D:\Eigene Dateien Manfred\inter Krankenvericherung.pdf
[2013.01.11 12:16:10 | 000,035,447 | ---- | M] () -- D:\Eigene Dateien Manfred\rechnung Navi Aldi.pcx
[2013.01.11 12:15:20 | 021,352,659 | ---- | M] () -- D:\Eigene Dateien Manfred\rechnung Handy.pcx
[2013.01.09 10:55:24 | 000,466,468 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.01.09 10:55:24 | 000,447,304 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.01.09 10:55:24 | 000,088,824 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.01.09 10:55:24 | 000,074,634 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.01.24 17:13:19 | 000,000,705 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.01.24 13:02:53 | 000,001,620 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2013.01.24 11:42:13 | 000,000,428 | ---- | C] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Desktop\Verknüpfung mit DSC_IWF.EXE.lnk
[2013.01.24 11:38:50 | 000,000,047 | ---- | C] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\AETER.IDX
[2013.01.24 11:38:50 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\AETER.DAT
[2013.01.11 18:22:21 | 000,019,708 | ---- | C] () -- D:\Eigene Dateien Manfred\inter Krankenvericherung.pdf
[2013.01.11 12:16:08 | 000,035,447 | ---- | C] () -- D:\Eigene Dateien Manfred\rechnung Navi Aldi.pcx
[2013.01.11 12:15:18 | 021,352,659 | ---- | C] () -- D:\Eigene Dateien Manfred\rechnung Handy.pcx
[2012.01.25 16:13:37 | 000,000,783 | ---- | C] () -- C:\WINDOWS\NTIWVEDT.INI
[2011.07.24 11:55:29 | 000,015,312 | ---- | C] () -- C:\WINDOWS\System32\RaCoInst.dat
[2011.05.11 17:02:27 | 000,067,156 | ---- | C] () -- C:\WINDOWS\Huawei ModemsUninstall.exe
[2010.01.22 17:22:03 | 000,044,374 | ---- | C] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\mdbu.bin
[2006.08.31 17:34:51 | 000,002,893 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2006.08.21 18:23:39 | 000,025,843 | ---- | C] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\dBase.ADR
[2006.07.18 22:22:32 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\PUTTY.RND
[2006.06.19 20:08:55 | 000,134,656 | ---- | C] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Fax Wuppertal1.dot
[2005.05.08 13:11:50 | 000,026,228 | ---- | C] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Microsoft Access.ADR
[2005.04.22 12:42:07 | 000,209,408 | ---- | C] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2008.11.30 13:31:30 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\System32\shdocvw.dll -- [2008.04.14 04:22:26 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\System32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\System32\wbem\wbemess.dll -- [2008.04.14 04:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2008.10.22 16:26:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2009.11.14 14:19:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BDNM
[2010.01.22 15:21:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
[2005.06.01 12:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2008.11.30 13:26:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
[2011.07.24 11:55:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ralink Driver
[2005.08.21 19:25:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
[2005.11.11 16:37:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
[2007.03.14 18:59:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ASBiON
[2011.05.22 18:28:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2009.06.14 18:27:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BIFAB
[2010.01.22 15:24:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Aldi Sued Fotoservice
[2010.07.14 13:37:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Driver Whiz
[2010.12.12 00:20:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2011.05.11 17:02:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Birdstep Technology
[2012.07.16 12:50:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WBA
[2012.07.21 10:02:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DatacardService
[2013.01.23 20:38:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MFAData
[2013.01.23 20:38:50 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2008.02.07 17:08:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2009.12.31 15:06:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Alexosoft
[2010.01.22 15:25:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\MAGIX
[2011.05.22 18:29:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\elsterformular
[2011.02.24 22:07:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Uniblue
[2012.07.21 10:04:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\T-Mobile
[2012.07.21 10:14:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\T-Mobile Internet Manager
[2012.11.14 17:51:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Simple Sudoku
[2005.06.01 12:53:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Ulead Systems
[2005.06.06 19:58:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\1&1
[2005.06.12 15:16:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\iGrafx
[2005.06.15 12:11:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Nokia
[2005.06.15 12:11:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\DataLayer
[2005.06.15 12:18:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Nokia Multimedia Player
[2005.08.14 17:43:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Leadertech
[2006.04.16 18:12:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Nvu
[2006.07.06 18:19:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\Windows Live Safety Center
[2007.03.14 18:59:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\ASBiON
[2008.02.07 17:08:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\FRITZ!fax für FRITZ!Box
[2008.02.07 17:15:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\FRITZ!
[2008.11.07 11:33:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\Anwendungsdaten\EFSoftware
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< :Alles auswählenAufklappen  >
[1980.01.01 00:00:00 | 000,000,065 | RH-- | C] () -- C:\WINDOWS\Tasks\desktop.ini
[2011.10.04 10:27:37 | 000,000,308 | ---- | C] () -- C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-2317538923-1161744426-439199626-1005.job
[2012.04.10 10:24:33 | 000,000,300 | ---- | C] () -- C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-2317538923-1161744426-439199626-1005.job
[2012.06.08 20:40:12 | 000,000,006 | -H-- | C] () -- C:\WINDOWS\Tasks\SA.DAT
 
< %SYSTEMDRIVE%\*. >
[2003.06.06 11:33:58 | 000,000,000 | ---D | M] -- C:\I386
[2009.01.31 16:02:20 | 000,000,000 | ---D | M] -- C:\Config.Msi
[2004.07.06 14:35:56 | 000,000,000 | ---D | M] -- C:\BOOK
[2004.07.06 14:35:56 | 000,000,000 | ---D | M] -- C:\SYSINFO
[2004.07.06 14:35:50 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2004.07.06 14:44:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2004.07.06 14:51:00 | 000,000,000 | ---D | M] -- C:\Programme
[2004.07.06 14:54:44 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2004.07.06 15:14:10 | 000,000,000 | ---D | M] -- C:\DOTNETFX
[2004.07.06 15:14:14 | 000,000,000 | ---D | M] -- C:\VALUEADD
[2004.07.06 15:14:16 | 000,000,000 | ---D | M] -- C:\SUPPORT
[2004.07.06 15:14:18 | 000,000,000 | ---D | M] -- C:\DOCS
[2004.07.06 15:18:38 | 000,000,000 | -HSD | M] -- C:\Recycled
[2004.07.06 15:21:20 | 000,000,000 | ---D | M] -- C:\Acer
[2010.01.02 15:09:02 | 000,000,000 | ---D | M] -- C:\backup
[2006.06.17 20:04:22 | 000,000,000 | --SD | M] -- C:\Verlauf
[2009.11.25 11:56:42 | 000,000,000 | ---D | M] -- C:\My Music
[2012.05.25 11:54:30 | 000,000,000 | ---D | M] -- C:\UserData
[2006.07.05 18:29:02 | 000,000,000 | ---D | M] -- C:\Program Files
[2006.08.29 14:14:36 | 000,000,000 | ---D | M] -- C:\SOPHTEMP
[2008.09.21 14:28:50 | 000,000,000 | ---D | M] -- C:\spoolerlogs
[2010.11.15 14:24:54 | 000,000,000 | ---D | M] -- C:\ZIP
[2010.12.09 16:15:08 | 000,000,000 | -H-D | M] -- C:\timerintray
[2005.03.17 19:56:42 | 000,000,000 | ---D | M] -- C:\TEMP
[2005.04.27 12:51:46 | 000,000,000 | ---D | M] -- C:\cdfoon
[2005.04.29 13:19:08 | 000,000,000 | ---D | M] -- C:\ADOBEAPP
 
< %PROGRAMFILES%\*.exe >
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< C:\Windows\system32\*.tsp >
[2008.04.14 04:23:08 | 000,266,240 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\h323.tsp
[2008.04.14 04:23:08 | 000,057,344 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\ndptsp.tsp
[2008.04.14 04:23:08 | 000,033,280 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\kmddsp.tsp
[2008.04.14 04:23:08 | 000,017,408 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\ipconf.tsp
[2008.04.14 04:23:08 | 000,207,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\unimdm.tsp
[2008.04.14 04:23:08 | 000,076,800 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\remotesp.tsp
[2008.04.14 04:23:08 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\hidphone.tsp
[2 C:\Windows\system32\*.tmp files -> C:\Windows\system32\*.tmp -> ]
 
< MD5 for: AGP440.SYS  >
[2005.05.31 09:18:14 | 022,286,026 | ---- | M] () .cab file -- C:\I386\sp2.cab:AGP440.sys
[2008.07.28 17:21:44 | 023,898,261 | ---- | M] () .cab file -- C:\I386\sp3.cab:AGP440.sys
[2005.05.31 09:18:14 | 022,286,026 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:AGP440.sys
[2008.07.28 17:21:44 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
[2004.08.04 08:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\$NtServicePackUninstall$\agp440.sys
[2004.08.04 08:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\system32\ReinstallBackups\0003\DriverFiles\i386\AGP440.SYS
 
< MD5 for: ATAPI.SYS  >
[2003.04.02 12:00:00 | 010,180,476 | ---- | M] () .cab file -- C:\I386\sp1.cab:atapi.sys
[2005.05.31 09:18:14 | 022,286,026 | ---- | M] () .cab file -- C:\I386\sp2.cab:atapi.sys
[2008.07.28 17:21:44 | 023,898,261 | ---- | M] () .cab file -- C:\I386\sp3.cab:atapi.sys
[2005.05.31 09:18:14 | 022,286,026 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:atapi.sys
[2008.07.28 17:21:44 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.04 07:59:42 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
[2004.08.04 07:59:42 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004.08.04 09:57:18 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: EXPLORER.EXE  >
[2007.06.13 15:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
[2008.04.14 04:22:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 04:22:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2007.06.13 15:21:46 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 04:22:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004.08.04 09:57:30 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 04:22:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004.08.04 09:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2004.06.17 18:55:44 | 000,561,664 | ---- | M] (Microsoft Corporation) MD5=34280AB3C7BEC4BA2E423567F6045369 -- C:\WINDOWS\SoftwareDistribution\Download\77bd11fcb55888047ed2e46b769ab41b\sp1qfe\user32.dll
[2005.03.02 20:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\$hf_mig$\KB890859\SP2GDR\user32.dll
[2007.03.08 17:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2005.03.02 20:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
[2007.03.08 17:48:40 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
[2008.04.14 04:22:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 04:22:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 04:23:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004.08.04 09:58:16 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2012.12.14 16:49:28 | 000,216,424 | ---- | M] () MD5=22101A85B3CA2FE2BE05FE9A61A7A83D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2004.08.04 09:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2004.06.17 01:09:16 | 000,488,448 | ---- | M] (Microsoft Corporation) MD5=E40A881E0EF53994B22D9DB55E94DBED -- C:\WINDOWS\SoftwareDistribution\Download\33ff811e0317795b71f6b10d11879c13\sp1qfe\winlogon.exe
[2004.06.17 18:42:14 | 000,488,448 | ---- | M] (Microsoft Corporation) MD5=E40A881E0EF53994B22D9DB55E94DBED -- C:\WINDOWS\SoftwareDistribution\Download\77bd11fcb55888047ed2e46b769ab41b\sp1qfe\winlogon.exe
[2008.04.14 04:23:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2003.04.02 12:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2003.04.02 12:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2004.07.06 14:43:56 | 000,413,696 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
[2004.07.06 14:43:56 | 000,606,208 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2004.07.06 14:43:56 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
 
< %systemroot%\system32\*.dll /lockedfiles >
[2 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
< %USERPROFILE%\*.* >
[2013.01.25 00:00:58 | 019,136,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\ntuser.dat
[2013.01.25 08:29:18 | 000,001,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\ntuser.dat.LOG
[2013.01.25 00:00:56 | 000,000,300 | -HS- | M] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\ntuser.ini
[2013.01.24 11:38:52 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\AETER.DAT
[2003.01.21 03:00:00 | 013,095,560 | R--- | M] (Microsoft Corporation) -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\MpSetup.exe
[2013.01.24 11:38:54 | 000,000,047 | ---- | M] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\AETER.IDX
[2008.02.05 18:46:26 | 000,000,385 | ---- | M] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\HotKeyerr.log
[2006.07.18 22:22:44 | 000,000,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Manfred Müllenschläd\PUTTY.RND
 
< %USERPROFILE%\Local Settings\Temp\*.exe >
 
< %USERPROFILE%\Local Settings\Temp\*.dll >
 
< %USERPROFILE%\Application Data\*.exe >
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2012.11.13 12:55:38 | 001,866,496 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

< End of report >

--- --- ---

und der Extras.txtOTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 25.01.2013 08:21:31 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Manfred Müllenschläd\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1022,42 Mb Total Physical Memory | 550,23 Mb Available Physical Memory | 53,82% Memory free
1,91 Gb Paging File | 1,47 Gb Available in Paging File | 76,96% Paging File free
Paging file location(s): D:\pagefile.sys 1024 1024 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 17,59 Gb Total Space | 1,56 Gb Free Space | 8,87% Space Free | Partition Type: FAT32
Drive D: | 17,69 Gb Total Space | 0,63 Gb Free Space | 3,56% Space Free | Partition Type: FAT32
 
Computer Name: LAPTOP | User Name: Manfred Müllenschläd | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.txt [@ = emeditor.txt] -- C:\Programme\EmEditor3\EMEDITOR.EXE (Emurasoft, Inc.)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"27230:UDP" = 27230:UDP:*:Enabled:UDP 27230
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\System32\rundll32.exe" = C:\WINDOWS\System32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen -- (Microsoft Corporation)
"C:\Programme\sofTRANS GmbH\WISE-FTP\wise_ftp.exe" = C:\Programme\sofTRANS GmbH\WISE-FTP\wise_ftp.exe:*:Enabled:WISE-FTP ausführbare Datei -- (sofTRANS GmbH)
"C:\Programme\FRITZ!fax\FriFax32.exe" = C:\Programme\FRITZ!fax\FriFax32.exe:*:Enabled:FRITZ!fax -- (AVM Berlin)
"C:\Programme\1&1\1&1 SoftPhone\IPPHONEUI.EXE" = C:\Programme\1&1\1&1 SoftPhone\IPPHONEUI.EXE:*:Enabled:1&1 SoftPhone
"C:\WINDOWS\network diagnostic\xpnetdiag.exe" = C:\WINDOWS\network diagnostic\xpnetdiag.exe:*:Enabled:Network Diagnostic for Windows XP -- (Microsoft Corporation)
"C:\Programme\devolo\dlan\devolonetsvc.exe" = C:\Programme\devolo\dlan\devolonetsvc.exe:*:Enabled:devolo dLAN Cockpit -- (devolo AG)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0BEDBD4E-2D34-47B5-9973-57E62B29307C}" = ATI Control Panel
"{1267949C-73FC-4692-AA22-176F5E909647}" = Nokia PC Suite
"{18533287-862B-40B4-86CD-4C5A299D902A}" = WISE-FTP
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1CBE5B42-EC07-4977-AB9C-5D79C16617A6}" = SyncroNaut 4.5.03
"{2269E086-3F88-4A5C-A96D-4881A089937C}" = QuickTide
"{23C7348E-131C-4BFF-9763-2C804D6B87AE}" = TIxx21/x515
"{26A24AE4-039D-4CA4-87B4-2F83216038FF}" = Java(TM) 6 Update 38
"{28DA7D8B-F9A4-4F18-8AA0-551B1E084D0D}" = Ralink RT2870 Wireless LAN Card
"{3248F0A8-6813-11D6-A77B-00B0D0150020}" = J2SE Runtime Environment 5.0 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0150040}" = J2SE Runtime Environment 5.0 Update 4
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3B11379A-9196-4228-981A-BB255E13109E}" = Autostart-Manager 2006
"{450CFD4D-7E60-3839-D0FA-56DB08675447}" = dLAN Cockpit
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4AD35E01-9BA9-4F0C-B6B7-09C6C8F20D15}" = Nokia Connectivity Cable Driver
"{4E68EAA3-775A-4542-A08A-47DB8E8E74A6}" = NTI Backup NOW! 3
"{505AFDC0-5E72-4928-8368-5DEA385E3647}" = CorelDRAW Graphics Suite 12
"{542068F1-9AAE-4E1B-8ACA-094FE03728BE}" = Carambis Driver Updater
"{5809E7CF-4DCF-11D4-9875-00105ACE7734}" = Logitech MouseWare 9.70 
"{5C81B189-5456-40C4-9313-7FE6FA6DD64C}" = Office-Bibliothek
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{63569CE9-FA00-469C-AF5C-E5D4D93ACF91}" = Windows Genuine Advantage v1.3.0254.0
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{6DD28220-44BE-4882-B9C3-73B6F876046E}" = Acer eManager
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser and SDK
"{720E749E-2449-406B-B0E7-9EBCEFDBAC37}" = Hercules Smart TV Drivers
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX Codec
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8AF3E926-ED59-11D4-A44B-0000E86D2305}" = Ulead GIF Animator 5
"{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}" = Logitech Desktop Messenger
"{90110407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{91BF142C-E8C0-4279-A98D-A61A4404CF56}" = Duden Korrektor
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Deutsch
"{ADB9A7F7-A6A3-4CCD-80AE-F13B520FE215}" = GrabShow 110
"{B7050CBDB2504B34BC2A9CA0A692CC29}" = DivX Web Player
"{BBC0D330-C37B-4472-BFB9-AA217CF0C95F}" = Ulead Photo Express 4.0 SE
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C438B7C4-B4F8-49C5-A4DF-FF6F1F242778}" = NTI CD & DVD-Maker
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D050D7362D214723AD585B541FFB6C11}" = DivX Content Uploader
"{D1696920-9794-4BBC-8A30-7A88763DE5A2}" = ABBYY FineReader 5.0 Sprint
"{E728E952-DD4F-4BCD-A5C8-40FBFEFF91FE}" = OpenOffice.org Installer 1.0
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F38ADCA4-AF7C-4C73-9021-6F1EA15D15EA}" = Pinnacle TVCenter Pro
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"Avira AntiVir Desktop" = Avira Free Antivirus
"Browser MOUSE" = Browser MOUSE
"CCleaner" = CCleaner (remove only)
"CNXT_MODEM_PCI_VEN_8086&DEV_24C6&SUBSYS_00641025" = SoftV92 Data Fax Modem with SmartCP
"Conexant PCI Audio" = Conexant AC-Link Audio
"Digital Editions" = Adobe Digital Editions
"dlancockpit" = devolo dLAN Cockpit
"EmEditor v3" = EmEditor v3
"FreePDF_XP" = FreePDF XP (Remove only)
"FRITZ!fax" = AVM FRITZ!fax
"GPL Ghostscript 8.62" = GPL Ghostscript 8.62
"GPL Ghostscript Fonts" = GPL Ghostscript Fonts
"HijackThis" = HijackThis 1.99.1
"Huawei Modems" = Huawei modem
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"Indeo® Software" = Indeo® Software
"InstallShield_{1267949C-73FC-4692-AA22-176F5E909647}" = Nokia PC Suite
"InstallShield_{23C7348E-131C-4BFF-9763-2C804D6B87AE}" = Texas Instruments PCIxx21/x515 drivers.
"InstallShield_{4AD35E01-9BA9-4F0C-B6B7-09C6C8F20D15}" = Nokia Connectivity Cable Driver
"InstallShield_{4E68EAA3-775A-4542-A08A-47DB8E8E74A6}" = NTI Backup NOW! 3
"InstallShield_{6DD28220-44BE-4882-B9C3-73B6F876046E}" = Acer eManager
"InstallShield_{91BF142C-E8C0-4279-A98D-A61A4404CF56}" = Duden Korrektor
"InstallShield_{C438B7C4-B4F8-49C5-A4DF-FF6F1F242778}" = NTI CD & DVD-Maker Gold 
"IrfanView" = IrfanView (remove only)
"KONICA MINOLTA magicolor 2500W" = KONICA MINOLTA magicolor 2500W
"LManager" = Launch Manager
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NauticTools_is1" = NauticTools
"NetObjects Fusion 5.0" = NetObjects Fusion 5.0
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Redirection Port Monitor" = RedMon - Redirection Port Monitor
"Simple Sudoku_is1" = Simple Sudoku 4.2
"Spybot - Search & Destroy_is1" = Spybot - Search & Destroy 1.3
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"USB Scanner" = USB Scanner
"VLC media player" = VLC media player 1.1.5
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Windows Live Safety Scanner" = Windows Live Safety Scanner
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 22.01.2013 10:15:19 | Computer Name = LAPTOP | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
Error - 24.01.2013 06:46:01 | Computer Name = LAPTOP | Source = MsiInstaller | ID = 11706
Description = Produkt: Microsoft Office 2000 Premium -- Fehler 1706. Es wurde keine
 gültige Quelle für das Produkt "Microsoft Office 2000 Premium" gefunden. Die Installation
 kann nicht fortgesetzt werden.
 
Error - 24.01.2013 07:03:50 | Computer Name = LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung igximg.exe, Version 1.0.1.1099, fehlgeschlagenes
 Modul igximg.exe, Version 1.0.1.1099, Fehleradresse 0x002816ea.
 
Error - 24.01.2013 07:22:26 | Computer Name = LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung igximg.exe, Version 1.0.1.1099, fehlgeschlagenes
 Modul igximg.exe, Version 1.0.1.1099, Fehleradresse 0x002816ea.
 
Error - 24.01.2013 07:26:24 | Computer Name = LAPTOP | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung igximg.exe, Version 1.0.1.1099, fehlgeschlagenes
 Modul igximg.exe, Version 1.0.1.1099, Fehleradresse 0x002816ea.
 
Error - 24.01.2013 08:19:12 | Computer Name = LAPTOP | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
 von Schattenkopien nicht gefunden werden.  Fügen Sie mindestens ein NTFS-Laufwerk
 mit ausreichend Speicherplatz dem System hinzu.  Es sind mindestens 100 MB freier
 Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.
 
Error - 24.01.2013 08:19:12 | Computer Name = LAPTOP | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
 von Schattenkopien nicht gefunden werden.  Fügen Sie mindestens ein NTFS-Laufwerk
 mit ausreichend Speicherplatz dem System hinzu.  Es sind mindestens 100 MB freier
 Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.
 
Error - 24.01.2013 08:31:49 | Computer Name = LAPTOP | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
 von Schattenkopien nicht gefunden werden.  Fügen Sie mindestens ein NTFS-Laufwerk
 mit ausreichend Speicherplatz dem System hinzu.  Es sind mindestens 100 MB freier
 Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.
 
Error - 24.01.2013 08:31:50 | Computer Name = LAPTOP | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
 von Schattenkopien nicht gefunden werden.  Fügen Sie mindestens ein NTFS-Laufwerk
 mit ausreichend Speicherplatz dem System hinzu.  Es sind mindestens 100 MB freier
 Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.
 
Error - 24.01.2013 08:33:33 | Computer Name = LAPTOP | Source = VSS | ID = 4001
Description = Volumeschattenkopie-Dienstfehler: Vergleichsbereiche können zum Erstellen
 von Schattenkopien nicht gefunden werden.  Fügen Sie mindestens ein NTFS-Laufwerk
 mit ausreichend Speicherplatz dem System hinzu.  Es sind mindestens 100 MB freier
 Speicherplatz pro Volumesicherung bzw. -schattenkopie erforderlich.
 
[ Backup Service Hom Events ]
Error - 22.01.2013 10:15:19 | Computer Name = LAPTOP | Source = WmiAdapter | ID = 4099
Description = 
 
Error - 24.01.2013 06:46:01 | Computer Name = LAPTOP | Source = MsiInstaller | ID = 11706
Description = 
 
Error - 24.01.2013 07:03:50 | Computer Name = LAPTOP | Source = Application Error | ID = 1000
Description = 
 
Error - 24.01.2013 07:22:26 | Computer Name = LAPTOP | Source = Application Error | ID = 1000
Description = 
 
Error - 24.01.2013 07:26:24 | Computer Name = LAPTOP | Source = Application Error | ID = 1000
Description = 
 
Error - 24.01.2013 08:19:12 | Computer Name = LAPTOP | Source = VSS | ID = 4001
Description = 
 
Error - 24.01.2013 08:19:12 | Computer Name = LAPTOP | Source = VSS | ID = 4001
Description = 
 
Error - 24.01.2013 08:31:49 | Computer Name = LAPTOP | Source = VSS | ID = 4001
Description = 
 
Error - 24.01.2013 08:31:50 | Computer Name = LAPTOP | Source = VSS | ID = 4001
Description = 
 
Error - 24.01.2013 08:33:33 | Computer Name = LAPTOP | Source = VSS | ID = 4001
Description = 
 
[ System Events ]
Error - 24.01.2013 04:19:46 | Computer Name = LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 24.01.2013 04:19:46 | Computer Name = LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 24.01.2013 07:58:29 | Computer Name = LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 24.01.2013 07:58:29 | Computer Name = LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 24.01.2013 15:20:12 | Computer Name = LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 24.01.2013 15:20:12 | Computer Name = LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 25.01.2013 02:54:36 | Computer Name = LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Treiber für parallelen Anschluss" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 25.01.2013 02:54:36 | Computer Name = LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Microsoft Legacy Modem Driver" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1058
 
Error - 25.01.2013 03:38:28 | Computer Name = LAPTOP | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 25.01.2013 03:38:32 | Computer Name = LAPTOP | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
 
< End of report >

--- --- ---

Hoffe Du kannst mir helfen.
Gruß
Manfred

markusg · 25.01.2013, 16:21

hi
öffne bitte Avira, Verwaltung, Quarantäne, poste alle Funde mit Pfadangabe.
falls vorhanden, öffne Malwarebytes, logdateien, poste weitere Logs mit funden.

seebaer · 25.01.2013, 19:32

Hallo Markus,
habe malwarebyttes noxh mal laufenlassen.
Keine Funde.
Das erste Log mit Funden habe ich schon oben gepostet.

Hier nun die Funde von Avira:

Typ: Datei
Quelle: C:\Dokumente und Einstellungen\Manfred Müllenschläd\Lokale Einstellungen\Temp\jar_cache6725916240144384011.tmp
Status: Infiziert
Quarantäne-Objekt: 188e9806.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.236
Virendefinitionsdatei: 7.11.58.132
Meldung: JAVA/Lamar.QK.4
Datum/Uhrzeit: 24.01.2013, 15:44

Typ: Datei
Quelle: C:\System Volume Information\_restore{0ACEBCF8-A6FC-4399-94FD-2DEE45552192}\RP2167\A0490525.exe
Status: Infiziert
Quarantäne-Objekt: 4a97c2dd.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.236
Virendefinitionsdatei: 7.11.58.132
Meldung: TR/Spy.ZBot.akh.1.1
Datum/Uhrzeit: 24.01.2013, 15:44

Typ: Datei
Quelle: D:\XNH\UltraVNC\Mani_WC\webcamDE\freecam.exe
Status: Infiziert
Quarantäne-Objekt: 5253ed39.qua
Wiederhergestellt: NEIN
Zu Avira hochgeladen: NEIN
Betriebssystem: Windows XP/VISTA Workstation/Windows 7
Suchengine: 8.02.10.236
Virendefinitionsdatei: 7.11.58.132
Meldung: ADWARE/Agent.A.82
Datum/Uhrzeit: 24.01.2013, 15:44

Ich hoffe das hilft zur Problemlösung
Gruß
Manfred

markusg · 29.01.2013, 13:11

hatte ich von einem neuen Suchlauf von Malwarebytes gesprochen? lies bitte, was oben steht, danke

seebaer · 29.01.2013, 14:46

außer dem ersten Log, welches ich schon gepostet habe, gibt es keine weiteren Logs mit Funden.
hier nochmal das Log in dem siche Funde befinden.
Malwarebytes Anti-Malware (Test) 1.70.0.1100
Malwarebytes : Free Anti-Malware download

Datenbank Version: v2013.01.24.09

Windows XP Service Pack 3 x86 FAT32
Internet Explorer 8.0.6001.18702
Manfred Müllenschläd :: LAPTOP [Administrator]

Schutz: Aktiviert

24.01.2013 17:16:47
mbam-log-2013-01-24 (17-16-47).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 187560
Laufzeit: 6 Minute(n), 7 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\61335523 (Rogue.Multiple) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 2
C:\Dokumente und Einstellungen\All Users\Startmenü\Antivirus Scan.url (Trojan.Zlob) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\All Users\Startmenü\Online Spyware Test.url (Trojan.Zlob) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Gruß

markusg · 31.01.2013, 19:11

combofix:

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

seebaer · 01.02.2013, 20:00

hi
haben combifix heruntergeladen, antivir ausgeschaltet und gestartet, Programm ist hängengeblieben. Rechner ließ sich nur noch durch auschalten beenden.
Auch ein zweiter Versuch ist fehlgeschlagen. Gleiches Problem.

markusg · 04.02.2013, 13:23

hi
starte neu, drücke f8 wähle abgesicherter Modus, melde dich in deinem Konto an, versuche es erneut.
starte dann, in den normalenModus und poste das Log

29.01.2013, 13:11	#6
markusg /// Malware-holic	Wegen "MitB" internetbanking von Sparkasse gesperrt. hatte ich von einem neuen Suchlauf von Malwarebytes gesprochen? lies bitte, was oben steht, danke __________________ --> Wegen "MitB" internetbanking von Sparkasse gesperrt.

Wegen "MitB" internetbanking von Sparkasse gesperrt.

Log-Analyse und Auswertung: Wegen "MitB" internetbanking von Sparkasse gesperrt.