Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: pdf Exploit - Telekom Rechnung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 22.02.2013, 21:17   #1
jenlowang
 
pdf Exploit - Telekom Rechnung - Standard

pdf Exploit - Telekom Rechnung



Hallo zusammen,

leider hat es nun anscheinend den Rechner meiner Frau erwischt (Win XP SP2). Sie hat gestern eien "komische" (O-Ton) Rechnung bekommen und beim öffnen passierte nichts.

Avira schrie auf eminem Dienstlaptop Stop und zeigte einen Trojaner an. Avast, Spybot, Malwarbytes und hijack this sagten anch entfernen der Meldungen das XP System sie wieder intakt, jedoch traue ich dem Braten nicht, da ich hier gelesen habe dass es wohl etwas tiefgreifender ist der exploit.

OT wurde heruntergeladen, soll ich das logfile online stellen (laut Rgeln ja erst nach Aufforderung)?


Grüße und danke für Hilfe im Vorraus.

Alt 22.02.2013, 21:19   #2
aharonov
/// TB-Ausbilder
 
pdf Exploit - Telekom Rechnung - Standard

pdf Exploit - Telekom Rechnung



Hallo,

ja, arbeite bitte diese Anleitung vollständig ab und poste dann die entsprechenden Logfiles.
(Die Logfiles bitte nicht anhängen, sondern deren Inhalt direkt innerhalb von Codetags einfügen: [code]Inhalt Logfile[/code].)
__________________

__________________

Alt 22.02.2013, 22:24   #3
jenlowang
 
pdf Exploit - Telekom Rechnung - Standard

pdf Exploit - Telekom Rechnung



Anbei die Log Dateien

OTL Log

OTL Logfile:
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 22.02.2013 23:17:26 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,94 Gb Total Physical Memory | 1,18 Gb Available Physical Memory | 60,93% Memory free
3,79 Gb Paging File | 3,10 Gb Available in Paging File | 81,90% Paging File free
Paging file location(s): F:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = F: | %SystemRoot% = F:\WINDOWS | %ProgramFiles% = F:\Programme
Drive F: | 149,04 Gb Total Space | 16,13 Gb Free Space | 10,82% Space Free | Partition Type: NTFS
 
Computer Name: WINDOWSPC | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Defogger.exe ()
PRC - F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe (OldTimer Tools)
PRC - F:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
PRC - F:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe (Safer-Networking Ltd.)
PRC - F:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe (Safer-Networking Ltd.)
PRC - F:\Programme\AVAST Software\Avast\AvastUI.exe (AVAST Software)
PRC - F:\Programme\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
PRC - F:\Programme\Lidl_Fotos\dd.exe ()
PRC - F:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
PRC - F:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
PRC - F:\Programme\ICQ6Toolbar\ICQ Service.exe ()
PRC - F:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
PRC - F:\Programme\Java\jre6\bin\jucheck.exe (Sun Microsystems, Inc.)
PRC - F:\Programme\Winamp\winampa.exe ()
PRC - F:\Programme\NVIDIA Corporation\nTune\nTuneService.exe (NVIDIA)
PRC - F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG)
PRC - F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
PRC - F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
PRC - F:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Defogger.exe ()
MOD - F:\Programme\AVAST Software\Avast\defs\13022201\algo.dll ()
MOD - F:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - F:\Programme\Spybot - Search & Destroy 2\snlFileFormats150.bpl ()
MOD - F:\Programme\Spybot - Search & Destroy 2\snlThirdParty150.bpl ()
MOD - F:\Programme\Spybot - Search & Destroy 2\VirtualTreesDXE150.bpl ()
MOD - F:\Programme\Spybot - Search & Destroy 2\JSDialogPack150.bpl ()
MOD - F:\Programme\Spybot - Search & Destroy 2\DEC150.bpl ()
MOD - F:\Programme\Lidl_Fotos\dd.exe ()
MOD - F:\Programme\Spybot - Search & Destroy 2\sqlite3.dll ()
MOD - F:\Programme\ICQ6Toolbar\ICQ Service.exe ()
MOD - F:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - F:\Programme\Winamp\winampa.exe ()
MOD - F:\WINDOWS\system32\msdmo.dll ()
MOD - F:\WINDOWS\system32\pdfcmnnt.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (SDWSCService) -- F:\Programme\Spybot File not found
SRV - (SDUpdateService) -- F:\Programme\Spybot File not found
SRV - (SDScannerService) -- F:\Programme\Spybot File not found
SRV - (hfpmyblk) -- F:\WINDOWS\system32\hlfztxi.dll File not found
SRV - (Application Updater) -- F:\Programme\Application Updater\ApplicationUpdater.exe File not found
SRV - (MozillaMaintenance) -- F:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AdobeFlashPlayerUpdateSvc) -- F:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (McComponentHostService) -- F:\Programme\McAfee Security Scan\3.0.318\McCHSvc.exe (McAfee, Inc.)
SRV - (avast! Antivirus) -- F:\Programme\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
SRV - (AntiVirService) -- F:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- F:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (ICQ Service) -- F:\Programme\ICQ6Toolbar\ICQ Service.exe ()
SRV - (nTuneService) -- F:\Programme\NVIDIA Corporation\nTune\nTuneService.exe (NVIDIA)
SRV - (NMIndexingService) -- F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
SRV - (IDriverT) -- F:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (WmcCds) -- f:\Programme\Windows Media Connect\mswmccds.exe (Microsoft Corporation)
SRV - (WmcCdsLs) -- F:\Programme\Windows Media Connect\mswmcls.exe (Microsoft Corporation)
SRV - (ose) -- F:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (uwlyqpob) -- F:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uwlyqpob.sys File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (GMSIPCI) -- E:\INSTALL\GMSIPCI.SYS File not found
DRV - (Changer) --  File not found
DRV - (aswSnx) -- F:\WINDOWS\System32\drivers\aswSnx.sys (AVAST Software)
DRV - (aswSP) -- F:\WINDOWS\System32\drivers\aswSP.sys (AVAST Software)
DRV - (aswTdi) -- F:\WINDOWS\System32\drivers\aswTdi.sys (AVAST Software)
DRV - (AswRdr) -- F:\WINDOWS\System32\drivers\aswRdr.sys (AVAST Software)
DRV - (aswMon2) -- F:\WINDOWS\System32\drivers\aswmon2.sys (AVAST Software)
DRV - (Aavmker4) -- F:\WINDOWS\System32\drivers\aavmker4.sys (AVAST Software)
DRV - (aswFsBlk) -- F:\WINDOWS\System32\drivers\aswFsBlk.sys (AVAST Software)
DRV - (avgntflt) -- F:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (RT73) -- F:\WINDOWS\system32\drivers\Dr71WU.sys (Ralink Technology, Corp.)
DRV - (ssmdrv) -- F:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avipbb) -- F:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgio) -- F:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (nvnetbus) -- F:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- F:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (IntcAzAudAddService) -- F:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (NVR0Dev) -- F:\WINDOWS\nvoclock.sys (NVidia Corp.)
DRV - (nvsmu) -- F:\WINDOWS\system32\drivers\nvsmu.sys (NVIDIA Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2661025
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\..\SearchScopes\{E08A9998-D98F-476f-8F5C-37C80FE0A4DA}: "URL" = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2528046
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: ""
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.ebay.de/"
FF - prefs.js..extensions.enabledAddons: toolbar%40gmx.net:2.3.4
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.5
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
FF - prefs.js..keyword.URL: ""
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: F:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_168.dll ()
FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: F:\Programme\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player:  File not found
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll (Zylom)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: F:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player:  File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\wrc@avast.com: F:\Programme\AVAST Software\Avast\WebRep\FF [2013.02.22 19:40:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0\extensions\\Components: F:\Programme\Mozilla Firefox\components [2013.02.20 09:55:31 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0\extensions\\Plugins: F:\Programme\Mozilla Firefox\plugins [2013.02.22 22:26:44 | 000,000,000 | ---D | M]
 
[2008.08.28 21:53:39 | 000,000,000 | ---D | M] (No name found) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2013.02.22 22:03:23 | 000,000,000 | ---D | M] (No name found) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions
[2012.10.15 17:22:43 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2013.02.22 10:58:51 | 000,000,000 | ---D | M] (Jetztspielen-) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions\{f082c5e6-14c5-4619-8e93-07c2cb297e71}
[2009.05.26 19:31:02 | 000,000,000 | ---D | M] (Move Media Player) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions\moveplayer@movenetworks.com
[2012.11.21 23:44:52 | 000,500,206 | ---- | M] () (No name found) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions\toolbar@gmx.net.xpi
[2013.02.22 19:10:21 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-1.xml
[2010.09.13 09:24:35 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-10.xml
[2010.09.18 10:56:26 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-11.xml
[2010.11.04 07:52:31 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-12.xml
[2010.11.07 13:09:39 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-13.xml
[2010.12.12 00:13:51 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-14.xml
[2011.03.05 19:49:41 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-15.xml
[2011.03.06 00:36:51 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-16.xml
[2011.03.25 21:35:29 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-17.xml
[2011.04.30 10:09:02 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-18.xml
[2011.07.18 19:31:13 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-19.xml
[2010.03.13 10:51:18 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-2.xml
[2010.03.16 19:27:57 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-3.xml
[2010.04.03 09:04:28 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-4.xml
[2010.06.27 11:42:36 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-5.xml
[2010.07.10 09:27:07 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-6.xml
[2010.07.21 08:37:54 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-7.xml
[2010.07.24 21:00:10 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-8.xml
[2010.09.08 12:24:42 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-9.xml
[2009.12.24 14:06:16 | 000,000,961 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin.xml
[2013.02.20 09:55:20 | 000,000,000 | ---D | M] (No name found) -- F:\Programme\Mozilla Firefox\extensions
[2013.02.20 09:55:20 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- F:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2013.02.20 09:55:15 | 000,000,000 | ---D | M] (No name found) -- F:\Programme\Mozilla Firefox\distribution\extensions
[2013.02.20 09:55:17 | 000,000,000 | ---D | M] (GMX MailCheck) -- F:\Programme\Mozilla Firefox\distribution\extensions\toolbar@gmx.net
[2013.02.20 09:55:31 | 000,263,064 | ---- | M] (Mozilla Foundation) -- F:\Programme\mozilla firefox\components\browsercomps.dll
[2008.09.15 11:52:06 | 000,376,832 | ---- | M] ( ) -- F:\Programme\mozilla firefox\plugins\npsnapfish.dll
[2006.07.31 16:07:16 | 000,098,304 | ---- | M] (Zylom) -- F:\Programme\mozilla firefox\plugins\npzylomgamesplayer.dll
[2012.06.01 17:33:00 | 000,001,392 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.11.15 09:26:39 | 000,002,465 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.06.01 17:33:00 | 000,001,153 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.01 17:33:00 | 000,006,805 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.01 17:33:00 | 000,001,178 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.01 17:33:00 | 000,001,105 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
[2009.04.07 14:59:38 | 000,000,872 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\Yahooober2061859.gif
[2009.12.24 00:24:30 | 000,000,205 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\Yahooober2061859.src
 
========== Chrome  ==========
 
CHR - homepage: hxxp://search.conduit.com/?ctid=CT2661025&SearchSource=48
CHR - homepage: hxxp://search.conduit.com/?ctid=CT2661025&SearchSource=48
CHR - Extension: avast! WebRep = F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\hfjckbbeondgbgemllebneccphndhhda\2.3.17.1_0\
CHR - Extension: avast! WebRep = F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1474_0\
 
O1 HOSTS File: ([2004.11.11 13:00:00 | 000,000,820 | ---- | M]) - F:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O3 - HKU\S-1-5-21-1275210071-1078081533-725345543-500\..\Toolbar\WebBrowser: (no name) - {F082C5E6-14C5-4619-8E93-07C2CB297E71} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe ARM] F:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] F:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avast] F:\Programme\AVAST Software\Avast\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [avgnt] F:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NeroFilterCheck] F:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] F:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] F:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] F:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [REGSHAVE] F:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)
O4 - HKLM..\Run: [SDTray] F:\Programme\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.)
O4 - HKLM..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe ()
O4 - HKU\S-1-5-21-1275210071-1078081533-725345543-500..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\S-1-5-21-1275210071-1078081533-725345543-500..\Run: [Device Detection] F:\Programme\Lidl_Fotos\dd.exe ()
O4 - HKU\S-1-5-21-1275210071-1078081533-725345543-500..\Run: [Duden Korrektor SysTray] F:\Programme\Duden\Duden Korrektor\DKTray.exe File not found
O4 - HKU\S-1-5-21-1275210071-1078081533-725345543-500..\Run: [NVIDIA nTune] F:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe (NVIDIA)
O4 - Startup: F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1275210071-1078081533-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: add to &BOM - F:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta ()
O8 - Extra context menu item: Fotoabzug online bestellen ! - hxxp://fotoup.info/ie2wk.php?hid=piqs File not found
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0F4C0848-F29B-40EB-ACCB-F9273E7E2C97}: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - F:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - F:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - F:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - F:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (F:\WINDOWS\system32\userinit.exe) - F:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) -  File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\{07a956ce-1c29-11de-a19d-0021855a4b0b}\Shell\AutoRun\command - "" = C:\Launch.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.22 20:26:35 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\ProcAlyzer Dumps
[2013.02.22 20:20:14 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2013.02.22 20:00:27 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy 2
[2013.02.22 20:00:18 | 000,015,224 | ---- | C] (Safer Networking Limited) -- F:\WINDOWS\System32\sdnclean.exe
[2013.02.22 20:00:08 | 000,000,000 | ---D | C] -- F:\Programme\Spybot - Search & Destroy 2
[2013.02.22 19:48:18 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2013.02.22 19:47:46 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.02.22 19:47:45 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.02.22 19:47:43 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- F:\WINDOWS\System32\drivers\mbam.sys
[2013.02.22 19:47:43 | 000,000,000 | ---D | C] -- F:\Programme\Malwarebytes' Anti-Malware
[2013.02.22 19:40:40 | 000,361,032 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswSP.sys
[2013.02.22 19:40:40 | 000,021,256 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswFsBlk.sys
[2013.02.22 19:40:40 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\avast! Free Antivirus
[2013.02.22 19:40:39 | 000,035,928 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswRdr.sys
[2013.02.22 19:40:38 | 000,738,504 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswSnx.sys
[2013.02.22 19:40:38 | 000,054,232 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswTdi.sys
[2013.02.22 19:40:37 | 000,097,608 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswmon2.sys
[2013.02.22 19:40:37 | 000,089,752 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswmon.sys
[2013.02.22 19:40:36 | 000,025,256 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aavmker4.sys
[2013.02.22 19:39:56 | 000,041,224 | ---- | C] (AVAST Software) -- F:\WINDOWS\avastSS.scr
[2013.02.22 19:39:55 | 000,227,648 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\aswBoot.exe
[2013.02.22 19:39:33 | 000,000,000 | ---D | C] -- F:\Programme\AVAST Software
[2013.02.22 19:39:33 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software
[2013.02.22 19:27:53 | 000,000,000 | ---D | C] -- F:\WINDOWS\CSC
[2013.02.20 09:55:14 | 000,000,000 | ---D | C] -- F:\Programme\Mozilla Firefox
[2013.02.15 09:27:18 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\McAfee Security Scan Plus
[2013.01.30 20:33:51 | 000,000,000 | ---D | C] -- F:\Programme\Gemeinsame Dateien\Adobe
[2013.01.30 20:33:51 | 000,000,000 | ---D | C] -- F:\Programme\Adobe
[7 F:\WINDOWS\*.tmp files -> F:\WINDOWS\*.tmp -> ]
[2 F:\Dokumente und Einstellungen\Administrator\Desktop\*.tmp files -> F:\Dokumente und Einstellungen\Administrator\Desktop\*.tmp -> ]
[1 F:\WINDOWS\System32\*.tmp files -> F:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.22 22:41:54 | 000,000,000 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2013.02.22 22:25:17 | 000,000,884 | ---- | M] () -- F:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.02.22 22:24:18 | 000,419,978 | ---- | M] () -- F:\WINDOWS\System32\perfh007.dat
[2013.02.22 22:24:18 | 000,404,548 | ---- | M] () -- F:\WINDOWS\System32\perfh009.dat
[2013.02.22 22:24:18 | 000,076,530 | ---- | M] () -- F:\WINDOWS\System32\perfc007.dat
[2013.02.22 22:24:18 | 000,063,576 | ---- | M] () -- F:\WINDOWS\System32\perfc009.dat
[2013.02.22 22:21:13 | 000,000,322 | -H-- | M] () -- F:\WINDOWS\tasks\avast! Emergency Update.job
[2013.02.22 22:21:12 | 000,000,612 | ---- | M] () -- F:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job
[2013.02.22 22:20:32 | 000,000,608 | ---- | M] () -- F:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job
[2013.02.22 22:20:32 | 000,000,438 | ---- | M] () -- F:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job
[2013.02.22 22:20:22 | 000,002,048 | --S- | M] () -- F:\WINDOWS\bootstat.dat
[2013.02.22 21:48:34 | 000,000,243 | -HS- | M] () -- F:\boot.ini
[2013.02.22 21:46:50 | 000,003,067 | ---- | M] () -- F:\WINDOWS\wininit.ini
[2013.02.22 20:00:28 | 000,001,800 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk
[2013.02.22 19:47:47 | 000,000,756 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.22 19:42:35 | 000,000,664 | ---- | M] () -- F:\WINDOWS\System32\d3d9caps.dat
[2013.02.22 19:40:41 | 000,001,653 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk
[2013.02.22 19:40:38 | 000,003,001 | ---- | M] () -- F:\WINDOWS\System32\CONFIG.NT
[2013.02.15 09:27:18 | 000,001,737 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\McAfee Security Scan Plus.lnk
[2013.02.15 09:27:18 | 000,001,731 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
[2013.02.15 09:24:30 | 000,002,278 | ---- | M] () -- F:\WINDOWS\System32\wpa.dbl
[2013.01.30 20:34:22 | 000,001,714 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk
[7 F:\WINDOWS\*.tmp files -> F:\WINDOWS\*.tmp -> ]
[2 F:\Dokumente und Einstellungen\Administrator\Desktop\*.tmp files -> F:\Dokumente und Einstellungen\Administrator\Desktop\*.tmp -> ]
[1 F:\WINDOWS\System32\*.tmp files -> F:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.22 22:41:54 | 000,000,000 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2013.02.22 21:46:47 | 000,003,067 | ---- | C] () -- F:\WINDOWS\wininit.ini
[2013.02.22 20:00:46 | 000,000,608 | ---- | C] () -- F:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job
[2013.02.22 20:00:46 | 000,000,438 | ---- | C] () -- F:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job
[2013.02.22 20:00:45 | 000,000,612 | ---- | C] () -- F:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job
[2013.02.22 20:00:28 | 000,001,806 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot-S&D Start Center.lnk
[2013.02.22 20:00:28 | 000,001,800 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk
[2013.02.22 19:47:47 | 000,000,756 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.22 19:42:35 | 000,000,664 | ---- | C] () -- F:\WINDOWS\System32\d3d9caps.dat
[2013.02.22 19:40:41 | 000,001,653 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk
[2013.02.22 19:40:38 | 000,000,322 | -H-- | C] () -- F:\WINDOWS\tasks\avast! Emergency Update.job
[2013.02.15 09:27:18 | 000,001,737 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\McAfee Security Scan Plus.lnk
[2013.01.30 20:34:22 | 000,001,804 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader XI.lnk
[2013.01.30 20:34:22 | 000,001,714 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk
[2009.02.22 14:30:45 | 000,000,336 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\IfolorJavaUpload.data
[2009.01.18 00:00:44 | 000,056,320 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.07.06 15:41:32 | 001,003,608 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mdbu.bin
[2008.07.03 20:35:37 | 000,000,113 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\default.pls
[2008.06.15 19:46:29 | 000,148,263 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mdb.bin
[2008.06.15 16:44:31 | 000,000,146 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2008.06.15 16:41:02 | 000,000,227 | RHS- | M] () -- F:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2004.09.29 19:47:53 | 001,483,776 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = F:\WINDOWS\system32\wbem\fastprox.dll -- [2004.11.11 13:00:00 | 000,472,064 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = F:\WINDOWS\system32\wbem\wbemess.dll -- [2004.11.11 13:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.05.27 21:38:09 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Awem
[2010.07.17 18:40:14 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BOM
[2011.05.27 21:04:18 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox
[2008.06.16 18:58:53 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
[2009.02.01 19:13:21 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ifolor
[2011.06.08 14:19:04 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Notepad++
[2008.09.13 20:19:34 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Panasonic
[2010.09.13 09:24:31 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pdfforge
[2011.06.12 11:51:38 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PhotoScape
[2010.07.17 18:38:15 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PreisHai4
[2009.02.07 12:51:13 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Snapfish
[2009.12.24 00:25:32 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TimeQuest
[2010.09.08 11:20:29 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue
[2012.07.03 09:25:07 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wtxpcom
[2012.10.14 18:52:08 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AlawarWrapper
[2013.02.22 19:39:33 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software
[2009.04.03 21:32:29 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AWEM
[2009.07.15 21:34:21 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2009.02.01 20:34:17 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ifolor
[2009.02.07 13:49:13 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LIDL Fotoservice
[2009.10.17 18:02:13 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lidl_Fotos
[2009.12.24 00:24:30 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oberon Media
[2010.09.08 14:39:08 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
[2011.05.27 22:08:25 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2009.02.01 13:26:08 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 141 bytes -> F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:FEF919E6
@Alternate Data Stream - 134 bytes -> F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:BB24555F
@Alternate Data Stream - 129 bytes -> F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:FB5DB76D
@Alternate Data Stream - 126 bytes -> F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:4220A65C
@Alternate Data Stream - 123 bytes -> F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:2504A086

< End of report >
         
--- --- ---



[/code]





OTL Extras Gibt er mir beim besten willen nicht aus ...
Code:
ATTFilter
         













Gmer

Code:
ATTFilter
GMER Logfile:
Code:
ATTFilter
GMER 2.1.19081 - hxxp://www.gmer.net
Rootkit scan 2013-02-22 22:59:30
Windows 5.1.2600 Service Pack 2 
Running: gmer_2.1.19081.exe; Driver: F:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\uwlyqpob.sys


---- System - GMER 2.1 ----

SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwAddBootEntry [0xB76D54BA]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                 ZwAllocateVirtualMemory [0xB77AAC22]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwAssignProcessToJobObject [0xB76D5ED6]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwClose [0xB7717811]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwCreateEvent [0xB76E0FA8]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwCreateEventPair [0xB76E0FF4]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwCreateIoCompletion [0xB76E1176]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwCreateKey [0xB77171C5]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwCreateMutant [0xB76E0F16]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwCreateSection [0xB76E1038]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwCreateSemaphore [0xB76E0F5E]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwCreateThread [0xB76D611C]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwCreateTimer [0xB76E1130]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwDebugActiveProcess [0xB76D693E]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwDeleteBootEntry [0xB76D5508]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwDeleteKey [0xB7717ED7]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwDeleteValueKey [0xB771818D]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwDuplicateObject [0xB76DA1C2]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwEnumerateKey [0xB7717D42]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwEnumerateValueKey [0xB7717BAD]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                 ZwFreeVirtualMemory [0xB77AACEA]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwLoadDriver [0xB76D5170]
SSDT            F7ABB71A                                                                                                                              ZwLoadKey
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwModifyBootEntry [0xB76D5556]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwNotifyChangeKey [0xB76DA534]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwNotifyChangeMultipleKeys [0xB76D73A6]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwOpenEvent [0xB76E0FD2]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwOpenEventPair [0xB76E1016]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwOpenIoCompletion [0xB76E119A]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwOpenKey [0xB7717521]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwOpenMutant [0xB76E0F3C]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwOpenProcess [0xB76D9C3E]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwOpenSection [0xB76E10BA]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwOpenSemaphore [0xB76E0F86]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwOpenThread [0xB76D9F14]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwOpenTimer [0xB76E1154]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                 ZwProtectVirtualMemory [0xB77AAE4A]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwQueryKey [0xB7717A28]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwQueryObject [0xB76D7272]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwQueryValueKey [0xB771787A]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwQueueApcThread [0xB76D6DD4]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                 ZwRenameKey [0xB77B77D2]
SSDT            F7ABB724                                                                                                                              ZwReplaceKey
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwRestoreKey [0xB7716838]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwSetBootEntryOrder [0xB76D55A4]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwSetBootOptions [0xB76D55F2]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwSetContextThread [0xB76D67BE]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwSetSystemInformation [0xB76D51FA]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwSetSystemPowerState [0xB76D53AA]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwSetValueKey [0xB7717FDE]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwShutdownSystem [0xB76D5350]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwSuspendProcess [0xB76D6AF8]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwSuspendThread [0xB76D6C54]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwSystemDebugControl [0xB76D541A]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwTerminateProcess [0xB76D64D4]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwTerminateThread [0xB76D6636]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                 ZwUnloadDriver [0xB77A941C]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwVdmControl [0xB76D5640]
SSDT            \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)                                                 ZwWriteVirtualMemory [0xB76D5F1A]

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                 ZwCreateProcessEx [0xB77C3E56]
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                 ObInsertObject
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                 ObMakeTemporaryObject

---- Kernel code sections - GMER 2.1 ----

.text           ntoskrnl.exe!ZwYieldExecution + 1CB                                                                                                   804E508C 4 Bytes  [EA, AC, 7A, B7]
.text           ntoskrnl.exe!ZwYieldExecution + 3CB                                                                                                   804E528C 12 Bytes  [A4, 55, 6D, B7, F2, 55, 6D, ...]
.text           ntoskrnl.exe!ZwYieldExecution + 473                                                                                                   804E5334 12 Bytes  [F8, 6A, 6D, B7, 54, 6C, 6D, ...]
PAGE            ntoskrnl.exe!ObInsertObject                                                                                                           8056EBBF 5 Bytes  JMP B77C2810 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE            ntoskrnl.exe!ZwReplyWaitReceivePortEx + 3CC                                                                                           80576F09 4 Bytes  CALL B76D7A77 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
PAGE            ntoskrnl.exe!ZwCreateProcessEx                                                                                                        8058B5EC 7 Bytes  JMP B77C3E5A \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
PAGE            ntoskrnl.exe!ObMakeTemporaryObject                                                                                                    805A9184 5 Bytes  JMP B77C0CF6 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)
?               nmxbexn.sys                                                                                                                           Das System kann die angegebene Datei nicht finden. !
.text           F:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                                                              section is writeable [0xBA727360, 0x307F47, 0xE8000020]
.text           win32k.sys!EngFreeUserMem + 674                                                                                                       BF80BA4F 5 Bytes  JMP B76DBB4C \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngFreeUserMem + E5A                                                                                                       BF80C235 5 Bytes  JMP B76DBA3C \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngDeleteSurface + 45                                                                                                      BF810175 5 Bytes  JMP B76DB9F6 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!BRUSHOBJ_pvAllocRbrush + 11D0                                                                                              BF81C0A3 5 Bytes  JMP B76DB0A8 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngBitBlt + 92C                                                                                                            BF827A40 5 Bytes  JMP B76DA7C4 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngUnmapFontFileFD + D80                                                                                                   BF83331E 5 Bytes  JMP B76DBCB6 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngUnmapFontFileFD + 7717                                                                                                  BF839CB5 5 Bytes  JMP B76DBEBE \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngUnmapFontFileFD + 112EA                                                                                                 BF843888 5 Bytes  JMP B76DA688 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngMulDiv + 5509                                                                                                           BF849B03 5 Bytes  JMP B76DA944 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngMulDiv + 6882                                                                                                           BF84AE7C 5 Bytes  JMP B76DB090 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngTextOut + 1437                                                                                                          BF854BF4 5 Bytes  JMP B76DB8FC \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngFillPath + 1036                                                                                                         BF857AD0 5 Bytes  JMP B76DBBFE \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngStrokePath + 62A3                                                                                                       BF87FFC9 5 Bytes  JMP B76DAC1E \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngStrokePath + 632C                                                                                                       BF880052 5 Bytes  JMP B76DAEE4 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngStrokePath + 70B0                                                                                                       BF880DD6 5 Bytes  JMP B76DA670 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngStrokePath + 77A9                                                                                                       BF8814CF 5 Bytes  JMP B76DB0C0 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngCreatePalette + 245E                                                                                                    BF884C65 5 Bytes  JMP B76DBE1C \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!BRUSHOBJ_hGetColorTransform + A4BC                                                                                         BF89ED1E 5 Bytes  JMP B76DACDE \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!BRUSHOBJ_hGetColorTransform + AFDD                                                                                         BF89F83F 5 Bytes  JMP B76DAE9E \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngGetLastError + 1606                                                                                                     BF8BCD44 5 Bytes  JMP B76DB182 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngGradientFill + 4E4C                                                                                                     BF8CEEE3 5 Bytes  JMP B76DA56A \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!PATHOBJ_bCloseFigure + A434                                                                                                BF8DAA77 5 Bytes  JMP B76DBA86 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!FONTOBJ_pxoGetXform + 77D                                                                                                  BF8FAF04 5 Bytes  JMP B76DA834 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngAlphaBlend + 4768                                                                                                       BF907C6D 5 Bytes  JMP B76DB16A \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!PATHOBJ_vGetBounds + 58C                                                                                                   BF908B12 5 Bytes  JMP B76DAA1C \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!PATHOBJ_vGetBounds + 80C                                                                                                   BF908D92 5 Bytes  JMP B76DAB48 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngCreateClip + 1993                                                                                                       BF911AD9 5 Bytes  JMP B76DA760 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngCreateClip + 2567                                                                                                       BF9126AD 5 Bytes  JMP B76DA8F0 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngCreateClip + 4EC1                                                                                                       BF915007 5 Bytes  JMP B76DAFFE \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)
.text           win32k.sys!EngPlgBlt + 191E                                                                                                           BF94290C 5 Bytes  JMP B76DBD74 \SystemRoot\System32\Drivers\aswSnx.SYS (avast! Virtualization Driver/AVAST Software)

---- User code sections - GMER 2.1 ----

.text           F:\WINDOWS\system32\nvsvc32.exe[124] ntdll.dll!RtlDosSearchPath_U + 1D1                                                               7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\nvsvc32.exe[124] kernel32.dll!GetBinaryTypeW + 80                                                                 7C8678BC 1 Byte  [62]
.text           F:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe[160] ntdll.dll!RtlDosSearchPath_U + 1D1                                          7C926FCA 1 Byte  [62]
.text           F:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe[160] kernel32.dll!GetBinaryTypeW + 80                                            7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\System32\smss.exe[652] ntdll.dll!RtlDosSearchPath_U + 1D1                                                                  7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\csrss.exe[716] ntdll.dll!RtlDosSearchPath_U + 1D1                                                                 7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\csrss.exe[716] KERNEL32.dll!GetBinaryTypeW + 80                                                                   7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\winlogon.exe[740] ntdll.dll!RtlDosSearchPath_U + 1D1                                                              7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\winlogon.exe[740] kernel32.dll!GetBinaryTypeW + 80                                                                7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\services.exe[784] ntdll.dll!RtlDosSearchPath_U + 1D1                                                              7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\services.exe[784] kernel32.dll!GetBinaryTypeW + 80                                                                7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\lsass.exe[796] ntdll.dll!RtlDosSearchPath_U + 1D1                                                                 7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\lsass.exe[796] kernel32.dll!GetBinaryTypeW + 80                                                                   7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\svchost.exe[988] ntdll.dll!RtlDosSearchPath_U + 1D1                                                               7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\svchost.exe[988] kernel32.dll!GetBinaryTypeW + 80                                                                 7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\svchost.exe[1032] ntdll.dll!RtlDosSearchPath_U + 1D1                                                              7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\svchost.exe[1032] kernel32.dll!GetBinaryTypeW + 80                                                                7C8678BC 1 Byte  [62]
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] ntdll.dll!LdrLoadDll                   7C9261CA 5 Bytes  JMP 003701F8 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] ntdll.dll!RtlDosSearchPath_U + 1D1     7C926FCA 1 Byte  [62]
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] ntdll.dll!LdrUnloadDll                 7C92718B 5 Bytes  JMP 003703FC 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] KERNEL32.dll!GetBinaryTypeW + 80       7C8678BC 1 Byte  [62]
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] ADVAPI32.dll!SetServiceObjectSecurity  77E06BE1 5 Bytes  JMP 003C1014 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] ADVAPI32.dll!ChangeServiceConfigA      77E06CC9 5 Bytes  JMP 003C0804 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] ADVAPI32.dll!ChangeServiceConfigW      77E06E61 5 Bytes  JMP 003C0A08 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] ADVAPI32.dll!ChangeServiceConfig2A     77E06F61 5 Bytes  JMP 003C0C0C 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] ADVAPI32.dll!ChangeServiceConfig2W     77E06FE9 5 Bytes  JMP 003C0E10 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] ADVAPI32.dll!CreateServiceA            77E07071 5 Bytes  JMP 003C01F8 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] ADVAPI32.dll!CreateServiceW            77E07209 5 Bytes  JMP 003C03FC 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] ADVAPI32.dll!DeleteService             77E07311 5 Bytes  JMP 003C0600 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] USER32.dll!SetWinEventHook             77D3E3D3 5 Bytes  JMP 003D01F8 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] USER32.dll!UnhookWinEvent              77D3E544 5 Bytes  JMP 003D03FC 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] USER32.dll!SetWindowsHookExW           77D3E621 5 Bytes  JMP 003D0804 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] USER32.dll!UnhookWindowsHookEx         77D3F29F 5 Bytes  JMP 003D0A08 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\gmer_2.1.19081.exe[1080] USER32.dll!SetWindowsHookExA           77D402B2 5 Bytes  JMP 003D0600 
.text           F:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe[1116] ntdll.dll!RtlDosSearchPath_U + 1D1                                        7C926FCA 1 Byte  [62]
.text           F:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe[1116] kernel32.dll!GetBinaryTypeW + 80                                          7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\System32\svchost.exe[1128] ntdll.dll!RtlDosSearchPath_U + 1D1                                                              7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\System32\svchost.exe[1128] kernel32.dll!GetBinaryTypeW + 80                                                                7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\svchost.exe[1200] ntdll.dll!RtlDosSearchPath_U + 1D1                                                              7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\svchost.exe[1200] kernel32.dll!GetBinaryTypeW + 80                                                                7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\svchost.exe[1324] ntdll.dll!RtlDosSearchPath_U + 1D1                                                              7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\svchost.exe[1324] kernel32.dll!GetBinaryTypeW + 80                                                                7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\Explorer.EXE[1500] ntdll.dll!RtlDosSearchPath_U + 1D1                                                                      7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\Explorer.EXE[1500] kernel32.dll!GetBinaryTypeW + 80                                                                        7C8678BC 1 Byte  [62]
.text           F:\Programme\AVAST Software\Avast\AvastSvc.exe[1540] ntdll.dll!RtlDosSearchPath_U + 1D1                                               7C926FCA 1 Byte  [62]
.text           F:\Programme\AVAST Software\Avast\AvastSvc.exe[1540] kernel32.dll!SetUnhandledExceptionFilter                                         7C810386 4 Bytes  [C2, 04, 00, 90] {RET 0x4; NOP }
.text           F:\Programme\AVAST Software\Avast\AvastSvc.exe[1540] kernel32.dll!GetBinaryTypeW + 80                                                 7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\spoolsv.exe[1596] ntdll.dll!RtlDosSearchPath_U + 1D1                                                              7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\spoolsv.exe[1596] kernel32.dll!GetBinaryTypeW + 80                                                                7C8678BC 1 Byte  [62]
.text           F:\Programme\Avira\AntiVir Desktop\sched.exe[1636] ntdll.dll!RtlDosSearchPath_U + 1D1                                                 7C926FCA 1 Byte  [62]
.text           F:\Programme\Avira\AntiVir Desktop\sched.exe[1636] kernel32.dll!GetBinaryTypeW + 80                                                   7C8678BC 1 Byte  [62]
.text           F:\Programme\Avira\AntiVir Desktop\avguard.exe[1760] ntdll.dll!RtlDosSearchPath_U + 1D1                                               7C926FCA 1 Byte  [62]
.text           F:\Programme\Avira\AntiVir Desktop\avguard.exe[1760] kernel32.dll!GetBinaryTypeW + 80                                                 7C8678BC 1 Byte  [62]
.text           F:\Programme\ICQ6Toolbar\ICQ Service.exe[1852] ntdll.dll!RtlDosSearchPath_U + 1D1                                                     7C926FCA 1 Byte  [62]
.text           F:\Programme\ICQ6Toolbar\ICQ Service.exe[1852] kernel32.dll!GetBinaryTypeW + 80                                                       7C8678BC 1 Byte  [62]
.text           F:\Programme\Java\jre6\bin\jqs.exe[1932] ntdll.dll!RtlDosSearchPath_U + 1D1                                                           7C926FCA 1 Byte  [62]
.text           F:\Programme\Java\jre6\bin\jqs.exe[1932] kernel32.dll!GetBinaryTypeW + 80                                                             7C8678BC 1 Byte  [62]
.text           F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[1960] ntdll.dll!RtlDosSearchPath_U + 1D1                            7C926FCA 1 Byte  [62]
.text           F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE[1960] kernel32.dll!GetBinaryTypeW + 80                              7C8678BC 1 Byte  [62]
.text           F:\Programme\NVIDIA Corporation\nTune\nTuneService.exe[1988] ntdll.dll!RtlDosSearchPath_U + 1D1                                       7C926FCA 1 Byte  [62]
.text           F:\Programme\NVIDIA Corporation\nTune\nTuneService.exe[1988] kernel32.dll!GetBinaryTypeW + 80                                         7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\wbem\wmiapsrv.exe[2060] ntdll.dll!LdrLoadDll                                                                      7C9261CA 5 Bytes  JMP 002B01F8 
.text           F:\WINDOWS\system32\wbem\wmiapsrv.exe[2060] ntdll.dll!RtlDosSearchPath_U + 1D1                                                        7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\wbem\wmiapsrv.exe[2060] ntdll.dll!LdrUnloadDll                                                                    7C92718B 5 Bytes  JMP 002B03FC 
.text           F:\WINDOWS\system32\wbem\wmiapsrv.exe[2060] KERNEL32.dll!GetBinaryTypeW + 80                                                          7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\svchost.exe[2432] ntdll.dll!LdrLoadDll                                                                            7C9261CA 5 Bytes  JMP 002B01F8 
.text           F:\WINDOWS\system32\svchost.exe[2432] ntdll.dll!RtlDosSearchPath_U + 1D1                                                              7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\svchost.exe[2432] ntdll.dll!LdrUnloadDll                                                                          7C92718B 5 Bytes  JMP 002B03FC 
.text           F:\WINDOWS\system32\svchost.exe[2432] KERNEL32.dll!GetBinaryTypeW + 80                                                                7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\svchost.exe[2432] ADVAPI32.dll!SetServiceObjectSecurity                                                           77E06BE1 5 Bytes  JMP 00791014 
.text           F:\WINDOWS\system32\svchost.exe[2432] ADVAPI32.dll!ChangeServiceConfigA                                                               77E06CC9 5 Bytes  JMP 00790804 
.text           F:\WINDOWS\system32\svchost.exe[2432] ADVAPI32.dll!ChangeServiceConfigW                                                               77E06E61 5 Bytes  JMP 00790A08 
.text           F:\WINDOWS\system32\svchost.exe[2432] ADVAPI32.dll!ChangeServiceConfig2A                                                              77E06F61 5 Bytes  JMP 00790C0C 
.text           F:\WINDOWS\system32\svchost.exe[2432] ADVAPI32.dll!ChangeServiceConfig2W                                                              77E06FE9 5 Bytes  JMP 00790E10 
.text           F:\WINDOWS\system32\svchost.exe[2432] ADVAPI32.dll!CreateServiceA                                                                     77E07071 5 Bytes  JMP 007901F8 
.text           F:\WINDOWS\system32\svchost.exe[2432] ADVAPI32.dll!CreateServiceW                                                                     77E07209 5 Bytes  JMP 007903FC 
.text           F:\WINDOWS\system32\svchost.exe[2432] ADVAPI32.dll!DeleteService                                                                      77E07311 5 Bytes  JMP 00790600 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Defogger.exe[2648] ntdll.dll!LdrLoadDll                         7C9261CA 5 Bytes  JMP 004801F8 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Defogger.exe[2648] ntdll.dll!RtlDosSearchPath_U + 1D1           7C926FCA 1 Byte  [62]
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Defogger.exe[2648] ntdll.dll!LdrUnloadDll                       7C92718B 5 Bytes  JMP 004803FC 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\Defogger.exe[2648] KERNEL32.dll!GetBinaryTypeW + 80             7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\wscntfy.exe[2676] ntdll.dll!LdrLoadDll                                                                            7C9261CA 5 Bytes  JMP 002B01F8 
.text           F:\WINDOWS\system32\wscntfy.exe[2676] ntdll.dll!RtlDosSearchPath_U + 1D1                                                              7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\wscntfy.exe[2676] ntdll.dll!LdrUnloadDll                                                                          7C92718B 5 Bytes  JMP 002B03FC 
.text           F:\WINDOWS\system32\wscntfy.exe[2676] KERNEL32.dll!GetBinaryTypeW + 80                                                                7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\wscntfy.exe[2676] ADVAPI32.dll!SetServiceObjectSecurity                                                           77E06BE1 5 Bytes  JMP 00841014 
.text           F:\WINDOWS\system32\wscntfy.exe[2676] ADVAPI32.dll!ChangeServiceConfigA                                                               77E06CC9 5 Bytes  JMP 00840804 
.text           F:\WINDOWS\system32\wscntfy.exe[2676] ADVAPI32.dll!ChangeServiceConfigW                                                               77E06E61 5 Bytes  JMP 00840A08 
.text           F:\WINDOWS\system32\wscntfy.exe[2676] ADVAPI32.dll!ChangeServiceConfig2A                                                              77E06F61 5 Bytes  JMP 00840C0C 
.text           F:\WINDOWS\system32\wscntfy.exe[2676] ADVAPI32.dll!ChangeServiceConfig2W                                                              77E06FE9 5 Bytes  JMP 00840E10 
.text           F:\WINDOWS\system32\wscntfy.exe[2676] ADVAPI32.dll!CreateServiceA                                                                     77E07071 5 Bytes  JMP 008401F8 
.text           F:\WINDOWS\system32\wscntfy.exe[2676] ADVAPI32.dll!CreateServiceW                                                                     77E07209 5 Bytes  JMP 008403FC 
.text           F:\WINDOWS\system32\wscntfy.exe[2676] ADVAPI32.dll!DeleteService                                                                      77E07311 5 Bytes  JMP 00840600 
.text           F:\WINDOWS\RTHDCPL.EXE[2700] ntdll.dll!LdrLoadDll                                                                                     7C9261CA 5 Bytes  JMP 003601F8 
.text           F:\WINDOWS\RTHDCPL.EXE[2700] ntdll.dll!RtlDosSearchPath_U + 1D1                                                                       7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\RTHDCPL.EXE[2700] ntdll.dll!LdrUnloadDll                                                                                   7C92718B 5 Bytes  JMP 003603FC 
.text           F:\WINDOWS\RTHDCPL.EXE[2700] KERNEL32.dll!GetBinaryTypeW + 80                                                                         7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\RTHDCPL.EXE[2700] ADVAPI32.dll!SetServiceObjectSecurity                                                                    77E06BE1 5 Bytes  JMP 022A1014 
.text           F:\WINDOWS\RTHDCPL.EXE[2700] ADVAPI32.dll!ChangeServiceConfigA                                                                        77E06CC9 5 Bytes  JMP 022A0804 
.text           F:\WINDOWS\RTHDCPL.EXE[2700] ADVAPI32.dll!ChangeServiceConfigW                                                                        77E06E61 5 Bytes  JMP 022A0A08 
.text           F:\WINDOWS\RTHDCPL.EXE[2700] ADVAPI32.dll!ChangeServiceConfig2A                                                                       77E06F61 5 Bytes  JMP 022A0C0C 
.text           F:\WINDOWS\RTHDCPL.EXE[2700] ADVAPI32.dll!ChangeServiceConfig2W                                                                       77E06FE9 5 Bytes  JMP 022A0E10 
.text           F:\WINDOWS\RTHDCPL.EXE[2700] ADVAPI32.dll!CreateServiceA                                                                              77E07071 5 Bytes  JMP 022A01F8 
.text           F:\WINDOWS\RTHDCPL.EXE[2700] ADVAPI32.dll!CreateServiceW                                                                              77E07209 5 Bytes  JMP 022A03FC 
.text           F:\WINDOWS\RTHDCPL.EXE[2700] ADVAPI32.dll!DeleteService                                                                               77E07311 5 Bytes  JMP 022A0600 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe[2748] ntdll.dll!LdrLoadDll                                              7C9261CA 5 Bytes  JMP 003601F8 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe[2748] ntdll.dll!RtlDosSearchPath_U + 1D1                                7C926FCA 1 Byte  [62]
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe[2748] ntdll.dll!LdrUnloadDll                                            7C92718B 5 Bytes  JMP 003603FC 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe[2748] KERNEL32.dll!GetBinaryTypeW + 80                                  7C8678BC 1 Byte  [62]
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe[2748] ADVAPI32.dll!SetServiceObjectSecurity                             77E06BE1 5 Bytes  JMP 02581014 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe[2748] ADVAPI32.dll!ChangeServiceConfigA                                 77E06CC9 5 Bytes  JMP 02580804 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe[2748] ADVAPI32.dll!ChangeServiceConfigW                                 77E06E61 5 Bytes  JMP 02580A08 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe[2748] ADVAPI32.dll!ChangeServiceConfig2A                                77E06F61 5 Bytes  JMP 02580C0C 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe[2748] ADVAPI32.dll!ChangeServiceConfig2W                                77E06FE9 5 Bytes  JMP 02580E10 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe[2748] ADVAPI32.dll!CreateServiceA                                       77E07071 5 Bytes  JMP 025801F8 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe[2748] ADVAPI32.dll!CreateServiceW                                       77E07209 5 Bytes  JMP 025803FC 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe[2748] ADVAPI32.dll!DeleteService                                        77E07311 5 Bytes  JMP 02580600 
.text           F:\WINDOWS\system32\RUNDLL32.EXE[2816] ntdll.dll!LdrLoadDll                                                                           7C9261CA 5 Bytes  JMP 002B01F8 
.text           F:\WINDOWS\system32\RUNDLL32.EXE[2816] ntdll.dll!RtlDosSearchPath_U + 1D1                                                             7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\RUNDLL32.EXE[2816] ntdll.dll!LdrUnloadDll                                                                         7C92718B 5 Bytes  JMP 002B03FC 
.text           F:\WINDOWS\system32\RUNDLL32.EXE[2816] KERNEL32.dll!GetBinaryTypeW + 80                                                               7C8678BC 1 Byte  [62]
.text           F:\Programme\Java\jre6\bin\jusched.exe[2840] ntdll.dll!LdrLoadDll                                                                     7C9261CA 5 Bytes  JMP 003701F8 
.text           F:\Programme\Java\jre6\bin\jusched.exe[2840] ntdll.dll!RtlDosSearchPath_U + 1D1                                                       7C926FCA 1 Byte  [62]
.text           F:\Programme\Java\jre6\bin\jusched.exe[2840] ntdll.dll!LdrUnloadDll                                                                   7C92718B 5 Bytes  JMP 003703FC 
.text           F:\Programme\Java\jre6\bin\jusched.exe[2840] KERNEL32.dll!GetBinaryTypeW + 80                                                         7C8678BC 1 Byte  [62]
.text           F:\Programme\Java\jre6\bin\jusched.exe[2840] ADVAPI32.dll!SetServiceObjectSecurity                                                    77E06BE1 5 Bytes  JMP 003B1014 
.text           F:\Programme\Java\jre6\bin\jusched.exe[2840] ADVAPI32.dll!ChangeServiceConfigA                                                        77E06CC9 5 Bytes  JMP 003B0804 
.text           F:\Programme\Java\jre6\bin\jusched.exe[2840] ADVAPI32.dll!ChangeServiceConfigW                                                        77E06E61 5 Bytes  JMP 003B0A08 
.text           F:\Programme\Java\jre6\bin\jusched.exe[2840] ADVAPI32.dll!ChangeServiceConfig2A                                                       77E06F61 5 Bytes  JMP 003B0C0C 
.text           F:\Programme\Java\jre6\bin\jusched.exe[2840] ADVAPI32.dll!ChangeServiceConfig2W                                                       77E06FE9 5 Bytes  JMP 003B0E10 
.text           F:\Programme\Java\jre6\bin\jusched.exe[2840] ADVAPI32.dll!CreateServiceA                                                              77E07071 5 Bytes  JMP 003B01F8 
.text           F:\Programme\Java\jre6\bin\jusched.exe[2840] ADVAPI32.dll!CreateServiceW                                                              77E07209 5 Bytes  JMP 003B03FC 
.text           F:\Programme\Java\jre6\bin\jusched.exe[2840] ADVAPI32.dll!DeleteService                                                               77E07311 5 Bytes  JMP 003B0600 
.text           F:\Programme\Winamp\winampa.exe[2852] ntdll.dll!LdrLoadDll                                                                            7C9261CA 5 Bytes  JMP 002B01F8 
.text           F:\Programme\Winamp\winampa.exe[2852] ntdll.dll!RtlDosSearchPath_U + 1D1                                                              7C926FCA 1 Byte  [62]
.text           F:\Programme\Winamp\winampa.exe[2852] ntdll.dll!LdrUnloadDll                                                                          7C92718B 5 Bytes  JMP 002B03FC 
.text           F:\Programme\Winamp\winampa.exe[2852] KERNEL32.dll!GetBinaryTypeW + 80                                                                7C8678BC 1 Byte  [62]
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] ntdll.dll!LdrLoadDll                                                               7C9261CA 5 Bytes  JMP 003701F8 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] ntdll.dll!RtlDosSearchPath_U + 1D1                                                 7C926FCA 1 Byte  [62]
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] ntdll.dll!LdrUnloadDll                                                             7C92718B 5 Bytes  JMP 003703FC 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] KERNEL32.dll!GetBinaryTypeW + 80                                                   7C8678BC 1 Byte  [62]
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] USER32.dll!SetWinEventHook                                                         77D3E3D3 5 Bytes  JMP 003D01F8 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] USER32.dll!UnhookWinEvent                                                          77D3E544 5 Bytes  JMP 003D03FC 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] USER32.dll!SetWindowsHookExW                                                       77D3E621 5 Bytes  JMP 003D0804 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] USER32.dll!UnhookWindowsHookEx                                                     77D3F29F 5 Bytes  JMP 003D0A08 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] USER32.dll!SetWindowsHookExA                                                       77D402B2 5 Bytes  JMP 003D0600 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] ADVAPI32.dll!SetServiceObjectSecurity                                              77E06BE1 5 Bytes  JMP 00AC1014 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] ADVAPI32.dll!ChangeServiceConfigA                                                  77E06CC9 5 Bytes  JMP 00AC0804 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] ADVAPI32.dll!ChangeServiceConfigW                                                  77E06E61 5 Bytes  JMP 00AC0A08 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] ADVAPI32.dll!ChangeServiceConfig2A                                                 77E06F61 5 Bytes  JMP 00AC0C0C 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] ADVAPI32.dll!ChangeServiceConfig2W                                                 77E06FE9 5 Bytes  JMP 00AC0E10 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] ADVAPI32.dll!CreateServiceA                                                        77E07071 5 Bytes  JMP 00AC01F8 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] ADVAPI32.dll!CreateServiceW                                                        77E07209 5 Bytes  JMP 00AC03FC 
.text           F:\Programme\Avira\AntiVir Desktop\avgnt.exe[2868] ADVAPI32.dll!DeleteService                                                         77E07311 5 Bytes  JMP 00AC0600 
.text           F:\Programme\AVAST Software\Avast\avastUI.exe[2996] ntdll.dll!RtlDosSearchPath_U + 1D1                                                7C926FCA 1 Byte  [62]
.text           F:\Programme\AVAST Software\Avast\avastUI.exe[2996] kernel32.dll!GetBinaryTypeW + 80                                                  7C8678BC 1 Byte  [62]
.text           F:\Programme\Spybot - Search & Destroy 2\SDTray.exe[3264] ntdll.dll!LdrLoadDll                                                        7C9261CA 5 Bytes  JMP 003701F8 
.text           F:\Programme\Spybot - Search & Destroy 2\SDTray.exe[3264] ntdll.dll!RtlDosSearchPath_U + 1D1                                          7C926FCA 1 Byte  [62]
.text           F:\Programme\Spybot - Search & Destroy 2\SDTray.exe[3264] ntdll.dll!LdrUnloadDll                                                      7C92718B 5 Bytes  JMP 003703FC 
.text           F:\Programme\Spybot - Search & Destroy 2\SDTray.exe[3264] KERNEL32.dll!GetBinaryTypeW + 80                                            7C8678BC 1 Byte  [62]
.text           F:\Programme\Spybot - Search & Destroy 2\SDTray.exe[3264] ADVAPI32.dll!SetServiceObjectSecurity                                       77E06BE1 5 Bytes  JMP 00D61014 
.text           F:\Programme\Spybot - Search & Destroy 2\SDTray.exe[3264] ADVAPI32.dll!ChangeServiceConfigA                                           77E06CC9 5 Bytes  JMP 00D60804 
.text           F:\Programme\Spybot - Search & Destroy 2\SDTray.exe[3264] ADVAPI32.dll!ChangeServiceConfigW                                           77E06E61 5 Bytes  JMP 00D60A08 
.text           F:\Programme\Spybot - Search & Destroy 2\SDTray.exe[3264] ADVAPI32.dll!ChangeServiceConfig2A                                          77E06F61 5 Bytes  JMP 00D60C0C 
.text           F:\Programme\Spybot - Search & Destroy 2\SDTray.exe[3264] ADVAPI32.dll!ChangeServiceConfig2W                                          77E06FE9 5 Bytes  JMP 00D60E10 
.text           F:\Programme\Spybot - Search & Destroy 2\SDTray.exe[3264] ADVAPI32.dll!CreateServiceA                                                 77E07071 5 Bytes  JMP 00D601F8 
.text           F:\Programme\Spybot - Search & Destroy 2\SDTray.exe[3264] ADVAPI32.dll!CreateServiceW                                                 77E07209 5 Bytes  JMP 00D603FC 
.text           F:\Programme\Spybot - Search & Destroy 2\SDTray.exe[3264] ADVAPI32.dll!DeleteService                                                  77E07311 5 Bytes  JMP 00D60600 
.text           F:\WINDOWS\system32\ctfmon.exe[3288] ntdll.dll!LdrLoadDll                                                                             7C9261CA 5 Bytes  JMP 002C01F8 
.text           F:\WINDOWS\system32\ctfmon.exe[3288] ntdll.dll!RtlDosSearchPath_U + 1D1                                                               7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\system32\ctfmon.exe[3288] ntdll.dll!LdrUnloadDll                                                                           7C92718B 5 Bytes  JMP 002C03FC 
.text           F:\WINDOWS\system32\ctfmon.exe[3288] KERNEL32.dll!GetBinaryTypeW + 80                                                                 7C8678BC 1 Byte  [62]
.text           F:\WINDOWS\system32\ctfmon.exe[3288] ADVAPI32.dll!SetServiceObjectSecurity                                                            77E06BE1 5 Bytes  JMP 009E1014 
.text           F:\WINDOWS\system32\ctfmon.exe[3288] ADVAPI32.dll!ChangeServiceConfigA                                                                77E06CC9 5 Bytes  JMP 009E0804 
.text           F:\WINDOWS\system32\ctfmon.exe[3288] ADVAPI32.dll!ChangeServiceConfigW                                                                77E06E61 5 Bytes  JMP 009E0A08 
.text           F:\WINDOWS\system32\ctfmon.exe[3288] ADVAPI32.dll!ChangeServiceConfig2A                                                               77E06F61 5 Bytes  JMP 009E0C0C 
.text           F:\WINDOWS\system32\ctfmon.exe[3288] ADVAPI32.dll!ChangeServiceConfig2W                                                               77E06FE9 5 Bytes  JMP 009E0E10 
.text           F:\WINDOWS\system32\ctfmon.exe[3288] ADVAPI32.dll!CreateServiceA                                                                      77E07071 5 Bytes  JMP 009E01F8 
.text           F:\WINDOWS\system32\ctfmon.exe[3288] ADVAPI32.dll!CreateServiceW                                                                      77E07209 5 Bytes  JMP 009E03FC 
.text           F:\WINDOWS\system32\ctfmon.exe[3288] ADVAPI32.dll!DeleteService                                                                       77E07311 5 Bytes  JMP 009E0600 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] ntdll.dll!LdrLoadDll                              7C9261CA 5 Bytes  JMP 003701F8 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] ntdll.dll!RtlDosSearchPath_U + 1D1                7C926FCA 1 Byte  [62]
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] ntdll.dll!LdrUnloadDll                            7C92718B 5 Bytes  JMP 003703FC 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] KERNEL32.dll!GetBinaryTypeW + 80                  7C8678BC 1 Byte  [62]
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] user32.dll!SetWinEventHook                        77D3E3D3 5 Bytes  JMP 011001F8 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] user32.dll!UnhookWinEvent                         77D3E544 5 Bytes  JMP 011003FC 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] user32.dll!SetWindowsHookExW                      77D3E621 5 Bytes  JMP 01100804 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] user32.dll!UnhookWindowsHookEx                    77D3F29F 5 Bytes  JMP 01100A08 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] user32.dll!SetWindowsHookExA                      77D402B2 5 Bytes  JMP 01100600 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] advapi32.dll!SetServiceObjectSecurity             77E06BE1 5 Bytes  JMP 003B1014 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] advapi32.dll!ChangeServiceConfigA                 77E06CC9 5 Bytes  JMP 003B0804 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] advapi32.dll!ChangeServiceConfigW                 77E06E61 5 Bytes  JMP 003B0A08 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] advapi32.dll!ChangeServiceConfig2A                77E06F61 5 Bytes  JMP 003B0C0C 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] advapi32.dll!ChangeServiceConfig2W                77E06FE9 5 Bytes  JMP 003B0E10 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] advapi32.dll!CreateServiceA                       77E07071 5 Bytes  JMP 003B01F8 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] advapi32.dll!CreateServiceW                       77E07209 5 Bytes  JMP 003B03FC 
.text           F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Downloads\OTL.exe[3380] advapi32.dll!DeleteService                        77E07311 5 Bytes  JMP 003B0600 
.text           F:\WINDOWS\System32\alg.exe[3460] ntdll.dll!LdrLoadDll                                                                                7C9261CA 5 Bytes  JMP 002B01F8 
.text           F:\WINDOWS\System32\alg.exe[3460] ntdll.dll!RtlDosSearchPath_U + 1D1                                                                  7C926FCA 1 Byte  [62]
.text           F:\WINDOWS\System32\alg.exe[3460] ntdll.dll!LdrUnloadDll                                                                              7C92718B 5 Bytes  JMP 002B03FC 
.text           F:\WINDOWS\System32\alg.exe[3460] KERNEL32.dll!GetBinaryTypeW + 80                                                                    7C8678BC 1 Byte  [62]
.text           F:\Programme\Java\jre6\bin\jucheck.exe[3600] ntdll.dll!LdrLoadDll                                                                     7C9261CA 5 Bytes  JMP 003701F8 
.text           F:\Programme\Java\jre6\bin\jucheck.exe[3600] ntdll.dll!RtlDosSearchPath_U + 1D1                                                       7C926FCA 1 Byte  [62]
.text           F:\Programme\Java\jre6\bin\jucheck.exe[3600] ntdll.dll!LdrUnloadDll                                                                   7C92718B 5 Bytes  JMP 003703FC 
.text           F:\Programme\Java\jre6\bin\jucheck.exe[3600] KERNEL32.dll!GetBinaryTypeW + 80                                                         7C8678BC 1 Byte  [62]
.text           F:\Programme\Java\jre6\bin\jucheck.exe[3600] ADVAPI32.dll!SetServiceObjectSecurity                                                    77E06BE1 5 Bytes  JMP 003B1014 
.text           F:\Programme\Java\jre6\bin\jucheck.exe[3600] ADVAPI32.dll!ChangeServiceConfigA                                                        77E06CC9 5 Bytes  JMP 003B0804 
.text           F:\Programme\Java\jre6\bin\jucheck.exe[3600] ADVAPI32.dll!ChangeServiceConfigW                                                        77E06E61 5 Bytes  JMP 003B0A08 
.text           F:\Programme\Java\jre6\bin\jucheck.exe[3600] ADVAPI32.dll!ChangeServiceConfig2A                                                       77E06F61 5 Bytes  JMP 003B0C0C 
.text           F:\Programme\Java\jre6\bin\jucheck.exe[3600] ADVAPI32.dll!ChangeServiceConfig2W                                                       77E06FE9 5 Bytes  JMP 003B0E10 
.text           F:\Programme\Java\jre6\bin\jucheck.exe[3600] ADVAPI32.dll!CreateServiceA                                                              77E07071 5 Bytes  JMP 003B01F8 
.text           F:\Programme\Java\jre6\bin\jucheck.exe[3600] ADVAPI32.dll!CreateServiceW                                                              77E07209 5 Bytes  JMP 003B03FC 
.text           F:\Programme\Java\jre6\bin\jucheck.exe[3600] ADVAPI32.dll!DeleteService                                                               77E07311 5 Bytes  JMP 003B0600 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[3816] ntdll.dll!LdrLoadDll                                                  7C9261CA 5 Bytes  JMP 003601F8 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[3816] ntdll.dll!RtlDosSearchPath_U + 1D1                                    7C926FCA 1 Byte  [62]
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[3816] ntdll.dll!LdrUnloadDll                                                7C92718B 5 Bytes  JMP 003603FC 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[3816] KERNEL32.dll!GetBinaryTypeW + 80                                      7C8678BC 1 Byte  [62]
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[3816] ADVAPI32.dll!SetServiceObjectSecurity                                 77E06BE1 5 Bytes  JMP 00DC1014 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[3816] ADVAPI32.dll!ChangeServiceConfigA                                     77E06CC9 5 Bytes  JMP 00DC0804 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[3816] ADVAPI32.dll!ChangeServiceConfigW                                     77E06E61 5 Bytes  JMP 00DC0A08 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[3816] ADVAPI32.dll!ChangeServiceConfig2A                                    77E06F61 5 Bytes  JMP 00DC0C0C 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[3816] ADVAPI32.dll!ChangeServiceConfig2W                                    77E06FE9 5 Bytes  JMP 00DC0E10 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[3816] ADVAPI32.dll!CreateServiceA                                           77E07071 5 Bytes  JMP 00DC01F8 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[3816] ADVAPI32.dll!CreateServiceW                                           77E07209 5 Bytes  JMP 00DC03FC 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe[3816] ADVAPI32.dll!DeleteService                                            77E07311 5 Bytes  JMP 00DC0600 
.text           F:\Programme\Lidl_Fotos\dd.exe[3908] ntdll.dll!LdrLoadDll                                                                             7C9261CA 5 Bytes  JMP 003601F8 
.text           F:\Programme\Lidl_Fotos\dd.exe[3908] ntdll.dll!RtlDosSearchPath_U + 1D1                                                               7C926FCA 1 Byte  [62]
.text           F:\Programme\Lidl_Fotos\dd.exe[3908] ntdll.dll!LdrUnloadDll                                                                           7C92718B 5 Bytes  JMP 003603FC 
.text           F:\Programme\Lidl_Fotos\dd.exe[3908] KERNEL32.dll!GetBinaryTypeW + 80                                                                 7C8678BC 1 Byte  [62]
.text           F:\Programme\Lidl_Fotos\dd.exe[3908] ADVAPI32.dll!SetServiceObjectSecurity                                                            77E06BE1 5 Bytes  JMP 00BA1014 
.text           F:\Programme\Lidl_Fotos\dd.exe[3908] ADVAPI32.dll!ChangeServiceConfigA                                                                77E06CC9 5 Bytes  JMP 00BA0804 
.text           F:\Programme\Lidl_Fotos\dd.exe[3908] ADVAPI32.dll!ChangeServiceConfigW                                                                77E06E61 5 Bytes  JMP 00BA0A08 
.text           F:\Programme\Lidl_Fotos\dd.exe[3908] ADVAPI32.dll!ChangeServiceConfig2A                                                               77E06F61 5 Bytes  JMP 00BA0C0C 
.text           F:\Programme\Lidl_Fotos\dd.exe[3908] ADVAPI32.dll!ChangeServiceConfig2W                                                               77E06FE9 5 Bytes  JMP 00BA0E10 
.text           F:\Programme\Lidl_Fotos\dd.exe[3908] ADVAPI32.dll!CreateServiceA                                                                      77E07071 5 Bytes  JMP 00BA01F8 
.text           F:\Programme\Lidl_Fotos\dd.exe[3908] ADVAPI32.dll!CreateServiceW                                                                      77E07209 5 Bytes  JMP 00BA03FC 
.text           F:\Programme\Lidl_Fotos\dd.exe[3908] ADVAPI32.dll!DeleteService                                                                       77E07311 5 Bytes  JMP 00BA0600 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe[3940] ntdll.dll!LdrLoadDll                                            7C9261CA 5 Bytes  JMP 003601F8 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe[3940] ntdll.dll!RtlDosSearchPath_U + 1D1                              7C926FCA 1 Byte  [62]
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe[3940] ntdll.dll!LdrUnloadDll                                          7C92718B 5 Bytes  JMP 003603FC 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe[3940] KERNEL32.dll!GetBinaryTypeW + 80                                7C8678BC 1 Byte  [62]
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe[3940] ADVAPI32.dll!SetServiceObjectSecurity                           77E06BE1 5 Bytes  JMP 01661014 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe[3940] ADVAPI32.dll!ChangeServiceConfigA                               77E06CC9 5 Bytes  JMP 01660804 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe[3940] ADVAPI32.dll!ChangeServiceConfigW                               77E06E61 5 Bytes  JMP 01660A08 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe[3940] ADVAPI32.dll!ChangeServiceConfig2A                              77E06F61 5 Bytes  JMP 01660C0C 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe[3940] ADVAPI32.dll!ChangeServiceConfig2W                              77E06FE9 5 Bytes  JMP 01660E10 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe[3940] ADVAPI32.dll!CreateServiceA                                     77E07071 5 Bytes  JMP 016601F8 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe[3940] ADVAPI32.dll!CreateServiceW                                     77E07209 5 Bytes  JMP 016603FC 
.text           F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe[3940] ADVAPI32.dll!DeleteService                                      77E07311 5 Bytes  JMP 01660600 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] ntdll.dll!LdrLoadDll                                                                   7C9261CA 5 Bytes  JMP 01588BF0 F:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] ntdll.dll!RtlDosSearchPath_U + 1D1                                                     7C926FCA 1 Byte  [62]
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] ntdll.dll!LdrUnloadDll                                                                 7C92718B 5 Bytes  JMP 002B03FC 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] KERNEL32.dll!lstrlenW + 43                                                             7C809A7C 7 Bytes  JMP 018D7FF0 F:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] KERNEL32.dll!MapViewOfFileEx + 6A                                                      7C80B788 7 Bytes  JMP 018D7FCD F:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] KERNEL32.dll!lstrcpyn + 70                                                             7C810381 7 Bytes  JMP 0159F1AD F:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] KERNEL32.dll!GetBinaryTypeW + 80                                                       7C8678BC 1 Byte  [62]
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] USER32.dll!SetWinEventHook                                                             77D3E3D3 5 Bytes  JMP 025901F8 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] USER32.dll!UnhookWinEvent                                                              77D3E544 5 Bytes  JMP 025903FC 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] USER32.dll!SetWindowsHookExW                                                           77D3E621 5 Bytes  JMP 02590804 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] USER32.dll!UnhookWindowsHookEx                                                         77D3F29F 5 Bytes  JMP 02590A08 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] USER32.dll!SetWindowsHookExA                                                           77D402B2 5 Bytes  JMP 02590600 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] GDI32.dll!SetWindowOrgEx + 15E                                                         77EF960B 7 Bytes  JMP 018D7F4E F:\Programme\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] ADVAPI32.dll!SetServiceObjectSecurity                                                  77E06BE1 5 Bytes  JMP 02D41014 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] ADVAPI32.dll!ChangeServiceConfigA                                                      77E06CC9 5 Bytes  JMP 02D40804 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] ADVAPI32.dll!ChangeServiceConfigW                                                      77E06E61 5 Bytes  JMP 02D40A08 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] ADVAPI32.dll!ChangeServiceConfig2A                                                     77E06F61 5 Bytes  JMP 02D40C0C 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] ADVAPI32.dll!ChangeServiceConfig2W                                                     77E06FE9 5 Bytes  JMP 02D40E10 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] ADVAPI32.dll!CreateServiceA                                                            77E07071 5 Bytes  JMP 02D401F8 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] ADVAPI32.dll!CreateServiceW                                                            77E07209 5 Bytes  JMP 02D403FC 
.text           F:\Programme\Mozilla Firefox\firefox.exe[3960] ADVAPI32.dll!DeleteService                                                             77E07311 5 Bytes  JMP 02D40600 
.text           F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe[3984] ntdll.dll!LdrLoadDll                                                  7C9261CA 5 Bytes  JMP 003701F8 
.text           F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe[3984] ntdll.dll!RtlDosSearchPath_U + 1D1                                    7C926FCA 1 Byte  [62]
.text           F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe[3984] ntdll.dll!LdrUnloadDll                                                7C92718B 5 Bytes  JMP 003703FC 
.text           F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe[3984] KERNEL32.dll!GetBinaryTypeW + 80                                      7C8678BC 1 Byte  [62]
.text           F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe[3984] ADVAPI32.dll!SetServiceObjectSecurity                                 77E06BE1 5 Bytes  JMP 003D1014 
.text           F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe[3984] ADVAPI32.dll!ChangeServiceConfigA                                     77E06CC9 5 Bytes  JMP 003D0804 
.text           F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe[3984] ADVAPI32.dll!ChangeServiceConfigW                                     77E06E61 5 Bytes  JMP 003D0A08 
.text           F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe[3984] ADVAPI32.dll!ChangeServiceConfig2A                                    77E06F61 5 Bytes  JMP 003D0C0C 
.text           F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe[3984] ADVAPI32.dll!ChangeServiceConfig2W                                    77E06FE9 5 Bytes  JMP 003D0E10 
.text           F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe[3984] ADVAPI32.dll!CreateServiceA                                           77E07071 5 Bytes  JMP 003D01F8 
.text           F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe[3984] ADVAPI32.dll!CreateServiceW                                           77E07209 5 Bytes  JMP 003D03FC 
.text           F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe[3984] ADVAPI32.dll!DeleteService                                            77E07311 5 Bytes  JMP 003D0600 

---- User IAT/EAT - GMER 2.1 ----

IAT             F:\WINDOWS\system32\services.exe[784] @ F:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW]                          00370002
IAT             F:\WINDOWS\system32\services.exe[784] @ F:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW]                                00370000
IAT             F:\Programme\AVAST Software\Avast\AvastSvc.exe[1540] @ F:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]                   [64C8F6D0] F:\Programme\AVAST Software\Avast\aswCmnBS.dll (Common functions/AVAST Software)
IAT             F:\Programme\AVAST Software\Avast\avastUI.exe[2996] @ F:\WINDOWS\system32\USER32.dll [KERNEL32.dll!LoadLibraryExW]                    [64C8F6D0] F:\Programme\AVAST Software\Avast\aswCmnBS.dll (Common functions/AVAST Software)

---- Devices - GMER 2.1 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                                aswSP.SYS (avast! self protection module/AVAST Software)

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                                                                aswMon2.SYS (avast! File System Filter Driver for Windows XP/AVAST Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                              aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                             aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                             aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                           aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

---- Registry - GMER 2.1 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations                                                     ???(F:???w?w?w?? und Einstellungen\All Users\Anwendungsdaten\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.old???rog??? ???????P?????u?????3????????????ds&????????????????????u???????&???u???u???u??????1????????????o??? ??1????i?????n U??? ???????u???????????u?p????????H?Ge ??????e D????H??u???h?????????????????4???????????????????? ???em?????u?????????????????"?)???3?)?t?g??????1?????????????????H??u???????????u??????????????F:\Programme\Spybot - Search & Destroy 2\SDEvents.dll?????l??u??????????????F:\Programme\Spybot - Search & Destroy 2\SDEvents.dll???????????????????????? ???????v???????????g????????&?l??? ???????y???? ??????????????t????u????l??u?????????????e????F:\Programme\Spybot - Search & Destroy 2\SDEvents.dll?????l??u??????????????F:\Programme\Spybot - Search & Destroy 2\SDEvents.dll???????????????????????? ???????v???????????g????????&?l????????????&?u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???u???

---- EOF - GMER 2.1 ----
         
--- --- ---
__________________

Alt 22.02.2013, 23:10   #4
aharonov
/// TB-Ausbilder
 
pdf Exploit - Telekom Rechnung - Standard

pdf Exploit - Telekom Rechnung



Hallo,

Zitat:
Avast, Spybot, Malwarbytes und hijack this sagten anch entfernen der Meldungen
Kannst du mir bitte noch sämtliche Logs mit diesen Malwarefunden nachliefern? Es ist immer gut zu wissen, womit man es genau zu tun hat(te).
Dann:


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
  • Schliesse alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.



Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!


Downloade dir bitte Combofix.
  • WICHTIG: Speichere Combofix auf deinen Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und akzeptiere die Endbenutzer-Lizenz.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
  • Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3

Starte bitte die OTL.exe.
  • Unter Extra Registry, wähle Use SafeList.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
  • Poste den Inhalt dieser Logfiles hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • bestehende Logs mit Fundmeldungen
  • Log von AdwCleaner
  • Log von Combofix
  • Logs von OTL
__________________
cheers,
Leo

Alt 23.02.2013, 15:31   #5
jenlowang
 
pdf Exploit - Telekom Rechnung - Standard

pdf Exploit - Telekom Rechnung



Hallo alle Schritte wie gewünscht abgearbeitet, die Protokolle (ausser Avast da hatte ich *zensiert* die Protokollierung nicht aktiviert) der anderen Programme im Anhang.

Schritt1 ADW Cleaner

AdwCleaner Logfile:
Code:
ATTFilter
# AdwCleaner v2.112 - Datei am 23/02/2013 um 15:19:21 erstellt
# Aktualisiert am 10/02/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 2 (32 bits)
# Benutzer : Administrator - WINDOWSPC
# Bootmodus : Normal
# Ausgeführt unter : F:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner0.exe
# Option [Löschen]


**** [Dienste] ****

Gestoppt & Gelöscht : Application Updater
Gestoppt & Gelöscht : ICQ Service

***** [Dateien / Ordner] *****

Datei Gelöscht : F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin.xml
Datei Gelöscht : F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-1.xml
Datei Gelöscht : F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-2.xml
Datei Gelöscht : F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-3.xml
Datei Gelöscht : F:\END
Gelöscht mit Neustart : F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\hfjckbbeondgbgemllebneccphndhhda
Ordner Gelöscht : F:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\CT2661025
Ordner Gelöscht : F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions\{f082c5e6-14c5-4619-8e93-07c2cb297e71}
Ordner Gelöscht : F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pdfforge
Ordner Gelöscht : F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Conduit
Ordner Gelöscht : F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Jetztspielen-
Ordner Gelöscht : F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ\ICQToolbar
Ordner Gelöscht : F:\Programme\Conduit
Ordner Gelöscht : F:\Programme\ICQ6Toolbar
Ordner Gelöscht : F:\Programme\Jetztspielen-

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\pdfforge
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Search Settings
Schlüssel Gelöscht : HKCU\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\ConduitSearchScopes
Schlüssel Gelöscht : HKCU\Software\Google\Chrome\Extensions\hfjckbbeondgbgemllebneccphndhhda
Schlüssel Gelöscht : HKCU\Software\Jetztspielen-
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F082C5E6-14C5-4619-8E93-07C2CB297E71}
Schlüssel Gelöscht : HKCU\Software\pdfforge
Schlüssel Gelöscht : HKCU\Software\Search Settings
Schlüssel Gelöscht : HKCU\Software\SmartBar
Schlüssel Gelöscht : HKCU\Software\Toolbar
Schlüssel Gelöscht : HKCU\Toolbar
Schlüssel Gelöscht : HKLM\Software\Application Updater
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{5D723752-5899-47E8-99B4-62C824EF9E13}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\ICQ Service.exe
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{8A691AB9-61BD-4991-A811-A6094A21014C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{B48A2DA3-58D8-4395-9396-C9064B768AE6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ICQToolBar.IEHook
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ICQToolBar.IEHook.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2528046
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Toolbar.CT2661025
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\hfjckbbeondgbgemllebneccphndhhda
Schlüssel Gelöscht : HKLM\Software\Jetztspielen-
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{855F3B16-6D32-4FE6-8A56-BBB695989046}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7814C522-F73F-4BFD-94F6-4E37DB3313B2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{96B0F522-E8FA-41CC-8A8A-0F24FD1F5132}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ICQToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Jetztspielen- Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B48A2DA3-58D8-4395-9396-C9064B768AE6}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\ED1CAE30F47D14B41B5FC8FA53658044
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ICQToolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Jetztspielen- Toolbar
Schlüssel Gelöscht : HKLM\Software\pdfforge
Schlüssel Gelöscht : HKLM\Software\Search Settings
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{F082C5E6-14C5-4619-8E93-07C2CB297E71}]

***** [Internet Browser] *****

-\\ Internet Explorer v6.0.2900.2180

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - ICQ Search] = hxxp://www.icq.com/search/results.php?q={searchTerms}&ch_id=osd --> hxxp://www.google.com

-\\ Mozilla Firefox v19.0 (de)

Datei : F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\prefs.js

F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\user.js ... Gelöscht !

Gelöscht : user_pref("CT2661025.autoDisableScopes", -1);

-\\ Google Chrome v [Version kann nicht ermittelt werden]

Datei : F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Preferences

Gelöscht [l.8] : homepage = "hxxp://search.conduit.com/?ctid=CT2661025&SearchSource=48",
Gelöscht [l.12] : urls_to_restore_on_startup = [ "hxxp://search.conduit.com/?ctid=CT2661025&SearchSource=48"[...]
Gelöscht [l.124] : homepage = "hxxp://search.conduit.com/?ctid=CT2661025&SearchSource=48",
Gelöscht [l.170] : urls_to_restore_on_startup = [ "hxxp://search.conduit.com/?ctid=CT2661025&SearchSource=48" ]

*************************

AdwCleaner[S1].txt - [6863 octets] - [23/02/2013 15:19:21]

########## EOF - F:\AdwCleaner[S1].txt - [6923 octets] ##########
         
--- --- ---


Schritt 2 Combofix

[code]
Combofix Logfile:
Code:
ATTFilter
ComboFix 13-02-23.01 - Administrator 23.02.2013  15:38:15.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1983.1428 [GMT 1:00]
ausgeführt von:: f:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
f:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
f:\windows\system32\antispy.exe
f:\windows\system32\PowerToyReadme.htm
f:\windows\system32\URTTemp
f:\windows\system32\URTTemp\fusion.dll
f:\windows\system32\URTTemp\mscoree.dll
f:\windows\system32\URTTemp\mscoree.dll.local
f:\windows\system32\URTTemp\mscorsn.dll
f:\windows\system32\URTTemp\mscorwks.dll
f:\windows\system32\URTTemp\msvcr71.dll
f:\windows\system32\URTTemp\regtlib.exe
f:\windows\wininit.ini
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-23 bis 2013-02-23  ))))))))))))))))))))))))))))))
.
.
2013-02-23 14:15 . 2013-02-23 14:15	--------	d-----w-	f:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun
2013-02-22 22:39 . 2013-02-22 22:39	--------	d-----w-	f:\programme\Gemeinsame Dateien\Java
2013-02-22 22:28 . 2013-02-22 22:27	143872	----a-w-	f:\windows\system32\javacpl.cpl
2013-02-22 22:28 . 2013-02-22 22:27	861088	----a-w-	f:\windows\system32\npDeployJava1.dll
2013-02-22 22:28 . 2013-02-22 22:27	782240	----a-w-	f:\windows\system32\deployJava1.dll
2013-02-22 22:28 . 2013-02-22 22:27	94112	----a-w-	f:\windows\system32\WindowsAccessBridge.dll
2013-02-22 19:20 . 2013-02-22 21:22	--------	d-----w-	f:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2013-02-22 19:00 . 2009-01-25 11:14	15224	----a-w-	f:\windows\system32\sdnclean.exe
2013-02-22 19:00 . 2013-02-22 19:00	--------	d-----w-	f:\programme\Spybot - Search & Destroy 2
2013-02-22 18:48 . 2013-02-22 18:48	--------	d-----w-	f:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2013-02-22 18:47 . 2013-02-22 18:47	--------	d-----w-	f:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-02-22 18:47 . 2013-02-22 18:47	--------	d-----w-	f:\programme\Malwarebytes' Anti-Malware
2013-02-22 18:47 . 2012-12-14 15:49	21104	----a-w-	f:\windows\system32\drivers\mbam.sys
2013-02-22 18:40 . 2012-10-30 22:51	361032	----a-w-	f:\windows\system32\drivers\aswSP.sys
2013-02-22 18:40 . 2012-10-30 22:51	21256	----a-w-	f:\windows\system32\drivers\aswFsBlk.sys
2013-02-22 18:40 . 2012-10-30 22:51	35928	----a-w-	f:\windows\system32\drivers\aswRdr.sys
2013-02-22 18:40 . 2012-10-30 22:51	738504	----a-w-	f:\windows\system32\drivers\aswSnx.sys
2013-02-22 18:40 . 2012-10-30 22:51	54232	----a-w-	f:\windows\system32\drivers\aswTdi.sys
2013-02-22 18:40 . 2012-10-30 22:51	97608	----a-w-	f:\windows\system32\drivers\aswmon2.sys
2013-02-22 18:40 . 2012-10-30 22:51	89752	----a-w-	f:\windows\system32\drivers\aswmon.sys
2013-02-22 18:40 . 2012-10-30 22:51	25256	----a-w-	f:\windows\system32\drivers\aavmker4.sys
2013-02-22 18:39 . 2012-10-30 22:51	41224	----a-w-	f:\windows\avastSS.scr
2013-02-22 18:39 . 2012-10-30 22:50	227648	----a-w-	f:\windows\system32\aswBoot.exe
2013-02-22 18:39 . 2013-02-22 18:39	--------	d-----w-	f:\programme\AVAST Software
2013-02-22 18:39 . 2013-02-22 18:39	--------	d-----w-	f:\dokumente und einstellungen\All Users\Anwendungsdaten\AVAST Software
2013-02-15 22:04 . 2013-02-15 22:04	208448	----a-w-	f:\programme\Internet Explorer\PLUGINS\nppdf32.dll
2013-01-30 19:33 . 2013-01-30 19:34	--------	d-----w-	f:\programme\Gemeinsame Dateien\Adobe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-18 06:58 . 2012-04-02 12:45	691568	----a-w-	f:\windows\system32\FlashPlayerApp.exe
2013-02-18 06:58 . 2011-05-16 17:23	71024	----a-w-	f:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-20 08:55 . 2013-02-20 08:55	263064	----a-w-	f:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-30 22:50	121528	----a-w-	f:\programme\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIDIA nTune"="f:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-07-20 81920]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="f:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"Device Detection"="f:\programme\Lidl_Fotos\dd.exe" [2012-10-12 800704]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="f:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"nwiz"="nwiz.exe" [2007-10-04 1626112]
"RTHDCPL"="RTHDCPL.EXE" [2007-08-20 16384512]
"NeroFilterCheck"="f:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"REGSHAVE"="f:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"NvMediaCenter"="f:\windows\system32\NvMcTray.dll" [2007-10-04 81920]
"WinampAgent"="f:\programme\Winamp\winampa.exe" [2008-04-01 36352]
"QuickTime Task"="f:\programme\QuickTime\QTTask.exe" [2011-07-05 421888]
"Adobe ARM"="f:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-18 946352]
"avast"="f:\programme\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]
"SDTray"="f:\programme\Spybot - Search & Destroy 2\SDTray.exe" [2012-11-13 3825176]
"SunJavaUpdateSched"="f:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="f:\windows\system32\CTFMON.EXE" [2004-11-11 15360]
.
f:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
McAfee Security Scan Plus.lnk - f:\programme\McAfee Security Scan\3.0.318\SSScheduler.exe [2013-2-5 272248]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0\0sdnclean.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"RegistryBooster"="f:\programme\Uniblue\RegistryBooster\launcher.exe" delay 20000 
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"f:\\Programme\\ICQ6.5\\ICQ.exe"=
"f:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"f:\\Programme\\Spybot - Search & Destroy 2\\SDTray.exe"=
"f:\\Programme\\Spybot - Search & Destroy 2\\SDFSSvc.exe"=
"f:\\Programme\\Spybot - Search & Destroy 2\\SDUpdate.exe"=
"f:\\Programme\\Spybot - Search & Destroy 2\\SDUpdSvc.exe"=
"f:\\Programme\\Spybot - Search & Destroy 2\\SDFiles.exe"=
.
R1 aswSnx;aswSnx;f:\windows\system32\drivers\aswSnx.sys [22.02.2013 19:40 738504]
R1 aswSP;aswSP;f:\windows\system32\drivers\aswSP.sys [22.02.2013 19:40 361032]
R2 aswFsBlk;aswFsBlk;f:\windows\system32\drivers\aswFsBlk.sys [22.02.2013 19:40 21256]
R2 SDScannerService;Spybot-S&D 2 Scanner Service;f:\programme\Spybot - Search & Destroy 2\SDFSSvc.exe [22.02.2013 20:00 1103392]
R2 SDUpdateService;Spybot-S&D 2 Updating Service;f:\programme\Spybot - Search & Destroy 2\SDUpdSvc.exe [22.02.2013 20:00 1369624]
S2 hfpmyblk;Support Shell;f:\windows\system32\svchost.exe -k netsvcs [11.11.2004 13:00 14336]
S2 SDWSCService;Spybot-S&D 2 Security Center Service;f:\programme\Spybot - Search & Destroy 2\SDWSCSvc.exe [22.02.2013 20:00 168384]
S3 McComponentHostService;McAfee Security Scan Component Host Service;f:\programme\McAfee Security Scan\3.0.318\McCHSvc.exe [05.02.2013 16:48 235216]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
hfpmyblk
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-23 f:\windows\Tasks\Adobe Flash Player Updater.job
- f:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-02 06:58]
.
2013-02-23 f:\windows\Tasks\avast! Emergency Update.job
- f:\programme\AVAST Software\Avast\AvastEmUpdate.exe [2013-02-22 22:50]
.
2013-02-23 f:\windows\Tasks\Check for updates (Spybot - Search & Destroy).job
- f:\programme\Spybot - Search & Destroy 2\SDUpdate.exe [2013-02-22 13:08]
.
2013-02-22 f:\windows\Tasks\Refresh immunization (Spybot - Search & Destroy).job
- f:\programme\Spybot - Search & Destroy 2\SDImmunize.exe [2013-02-22 13:07]
.
2013-02-22 f:\windows\Tasks\Scan the system (Spybot - Search & Destroy).job
- f:\programme\Spybot - Search & Destroy 2\SDScan.exe [2013-02-22 13:07]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: add to &BOM - f:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Fotoabzug online bestellen ! - hxxp://fotoup.info/ie2wk.php?hid=piqs
IE: Nach Microsoft &Excel exportieren - f:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - f:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ebay.de/
FF - prefs.js: keyword.URL - 
FF - ExtSQL: 2013-02-22 19:40; wrc@avast.com; f:\programme\AVAST Software\Avast\WebRep\FF
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Duden Korrektor SysTray - f:\programme\Duden\Duden Korrektor\DKTray.exe
Notify-SDWinLogon - SDWinLogon.dll
AddRemove-Zylom Games Player Plugin - f:\programme\Zylom Games\UninstallPlugin.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-23 15:46
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(732)
f:\windows\system32\sfc_os.dll
.
Zeit der Fertigstellung: 2013-02-23  15:48:09
ComboFix-quarantined-files.txt  2013-02-23 14:48
.
Vor Suchlauf: 5 Verzeichnis(se), 20.887.928.832 Bytes frei
Nach Suchlauf: 6 Verzeichnis(se), 21.839.491.072 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
[spybotsd]
timeout.old=1
.
- - End Of File - - F23CD8ED3C29EA280ABBDF42EFFBE71A
         
--- --- ---



Schritt 3 OTL


OTL Log

OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 23.02.2013 15:52:17 - Run 3
OTL by OldTimer - Version 3.2.69.0     Folder = F:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,94 Gb Total Physical Memory | 1,39 Gb Available Physical Memory | 71,60% Memory free
3,79 Gb Paging File | 3,48 Gb Available in Paging File | 91,75% Paging File free
Paging file location(s): F:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = F: | %SystemRoot% = F:\WINDOWS | %ProgramFiles% = F:\Programme
Drive F: | 149,04 Gb Total Space | 20,37 Gb Free Space | 13,67% Space Free | Partition Type: NTFS
 
Computer Name: WINDOWSPC | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - F:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
PRC - F:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools)
PRC - F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
PRC - F:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe (Safer-Networking Ltd.)
PRC - F:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe (Safer-Networking Ltd.)
PRC - F:\Programme\AVAST Software\Avast\AvastUI.exe (AVAST Software)
PRC - F:\Programme\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
PRC - F:\Programme\Lidl_Fotos\dd.exe ()
PRC - F:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - F:\Programme\NVIDIA Corporation\nTune\nTuneService.exe (NVIDIA)
PRC - F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG)
PRC - F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
PRC - F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
PRC - F:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - F:\Programme\AVAST Software\Avast\defs\13022300\algo.dll ()
MOD - F:\Programme\Spybot - Search & Destroy 2\snlFileFormats150.bpl ()
MOD - F:\Programme\Spybot - Search & Destroy 2\snlThirdParty150.bpl ()
MOD - F:\Programme\Spybot - Search & Destroy 2\JSDialogPack150.bpl ()
MOD - F:\Programme\Spybot - Search & Destroy 2\DEC150.bpl ()
MOD - F:\Programme\Lidl_Fotos\dd.exe ()
MOD - F:\Programme\Spybot - Search & Destroy 2\sqlite3.dll ()
MOD - F:\WINDOWS\system32\pdfcmnnt.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (SDWSCService) -- F:\Programme\Spybot File not found
SRV - (SDUpdateService) -- F:\Programme\Spybot File not found
SRV - (SDScannerService) -- F:\Programme\Spybot File not found
SRV - (hfpmyblk) -- F:\WINDOWS\system32\hlfztxi.dll File not found
SRV - (JavaQuickStarterService) -- F:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
SRV - (MozillaMaintenance) -- F:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AdobeFlashPlayerUpdateSvc) -- F:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (McComponentHostService) -- F:\Programme\McAfee Security Scan\3.0.318\McCHSvc.exe (McAfee, Inc.)
SRV - (avast! Antivirus) -- F:\Programme\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
SRV - (nTuneService) -- F:\Programme\NVIDIA Corporation\nTune\nTuneService.exe (NVIDIA)
SRV - (NMIndexingService) -- F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
SRV - (IDriverT) -- F:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (WmcCds) -- f:\Programme\Windows Media Connect\mswmccds.exe (Microsoft Corporation)
SRV - (WmcCdsLs) -- F:\Programme\Windows Media Connect\mswmcls.exe (Microsoft Corporation)
SRV - (ose) -- F:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (mbr) -- F:\ComboFix\mbr.sys File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (GMSIPCI) -- E:\INSTALL\GMSIPCI.SYS File not found
DRV - (Changer) --  File not found
DRV - (catchme) -- F:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys File not found
DRV - (aswSnx) -- F:\WINDOWS\System32\drivers\aswSnx.sys (AVAST Software)
DRV - (aswSP) -- F:\WINDOWS\System32\drivers\aswSP.sys (AVAST Software)
DRV - (aswTdi) -- F:\WINDOWS\System32\drivers\aswTdi.sys (AVAST Software)
DRV - (AswRdr) -- F:\WINDOWS\System32\drivers\aswRdr.sys (AVAST Software)
DRV - (aswMon2) -- F:\WINDOWS\System32\drivers\aswmon2.sys (AVAST Software)
DRV - (Aavmker4) -- F:\WINDOWS\System32\drivers\aavmker4.sys (AVAST Software)
DRV - (aswFsBlk) -- F:\WINDOWS\System32\drivers\aswFsBlk.sys (AVAST Software)
DRV - (RT73) -- F:\WINDOWS\system32\drivers\Dr71WU.sys (Ralink Technology, Corp.)
DRV - (ssmdrv) -- F:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (nvnetbus) -- F:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- F:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (IntcAzAudAddService) -- F:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (NVR0Dev) -- F:\WINDOWS\nvoclock.sys (NVidia Corp.)
DRV - (nvsmu) -- F:\WINDOWS\system32\drivers\nvsmu.sys (NVIDIA Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\..\SearchScopes\{E08A9998-D98F-476f-8F5C-37C80FE0A4DA}: "URL" = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2528046
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: ""
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.ebay.de/"
FF - prefs.js..extensions.enabledAddons: toolbar%40gmx.net:2.3.4
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.5
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
FF - prefs.js..keyword.URL: ""
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: F:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_168.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.15.2: F:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.15.2: F:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: F:\Programme\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player:  File not found
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll (Zylom)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: F:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player:  File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\wrc@avast.com: F:\Programme\AVAST Software\Avast\WebRep\FF [2013.02.22 19:40:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0\extensions\\Components: F:\Programme\Mozilla Firefox\components [2013.02.20 09:55:31 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0\extensions\\Plugins: F:\Programme\Mozilla Firefox\plugins [2013.02.22 23:28:15 | 000,000,000 | ---D | M]
 
[2008.08.28 21:53:39 | 000,000,000 | ---D | M] (No name found) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2013.02.23 15:20:04 | 000,000,000 | ---D | M] (No name found) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions
[2012.10.15 17:22:43 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2009.05.26 19:31:02 | 000,000,000 | ---D | M] (Move Media Player) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions\moveplayer@movenetworks.com
[2012.11.21 23:44:52 | 000,500,206 | ---- | M] () (No name found) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions\toolbar@gmx.net.xpi
[2010.09.13 09:24:35 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-10.xml
[2010.09.18 10:56:26 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-11.xml
[2010.11.04 07:52:31 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-12.xml
[2010.11.07 13:09:39 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-13.xml
[2010.12.12 00:13:51 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-14.xml
[2011.03.05 19:49:41 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-15.xml
[2011.03.06 00:36:51 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-16.xml
[2011.03.25 21:35:29 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-17.xml
[2011.04.30 10:09:02 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-18.xml
[2011.07.18 19:31:13 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-19.xml
[2010.04.03 09:04:28 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-4.xml
[2010.06.27 11:42:36 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-5.xml
[2010.07.10 09:27:07 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-6.xml
[2010.07.21 08:37:54 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-7.xml
[2010.07.24 21:00:10 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-8.xml
[2010.09.08 12:24:42 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-9.xml
[2013.02.20 09:55:20 | 000,000,000 | ---D | M] (No name found) -- F:\Programme\Mozilla Firefox\extensions
[2013.02.20 09:55:20 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- F:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2013.02.20 09:55:15 | 000,000,000 | ---D | M] (No name found) -- F:\Programme\Mozilla Firefox\distribution\extensions
[2013.02.20 09:55:17 | 000,000,000 | ---D | M] (GMX MailCheck) -- F:\Programme\Mozilla Firefox\distribution\extensions\toolbar@gmx.net
[2013.02.20 09:55:31 | 000,263,064 | ---- | M] (Mozilla Foundation) -- F:\Programme\mozilla firefox\components\browsercomps.dll
[2008.09.15 11:52:06 | 000,376,832 | ---- | M] ( ) -- F:\Programme\mozilla firefox\plugins\npsnapfish.dll
[2006.07.31 16:07:16 | 000,098,304 | ---- | M] (Zylom) -- F:\Programme\mozilla firefox\plugins\npzylomgamesplayer.dll
[2012.06.01 17:33:00 | 000,001,392 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.11.15 09:26:39 | 000,002,465 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.06.01 17:33:00 | 000,001,153 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.01 17:33:00 | 000,006,805 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.01 17:33:00 | 000,001,178 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.01 17:33:00 | 000,001,105 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
[2009.04.07 14:59:38 | 000,000,872 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\Yahooober2061859.gif
[2009.12.24 00:24:30 | 000,000,205 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\Yahooober2061859.src
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.google.com/
CHR - homepage: hxxp://www.google.com/
CHR - Extension: avast! WebRep = F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1474_0\
 
O1 HOSTS File: ([2013.02.23 15:46:40 | 000,000,027 | ---- | M]) - F:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Adobe ARM] F:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avast] F:\Programme\AVAST Software\Avast\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [NeroFilterCheck] F:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] F:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] F:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] F:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [REGSHAVE] F:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)
O4 - HKLM..\Run: [SDTray] F:\Programme\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.)
O4 - HKLM..\Run: [SunJavaUpdateSched] F:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe ()
O4 - HKU\S-1-5-21-1275210071-1078081533-725345543-500..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\S-1-5-21-1275210071-1078081533-725345543-500..\Run: [Device Detection] F:\Programme\Lidl_Fotos\dd.exe ()
O4 - HKU\S-1-5-21-1275210071-1078081533-725345543-500..\Run: [NVIDIA nTune] F:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe (NVIDIA)
O4 - Startup: F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1275210071-1078081533-725345543-500\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1275210071-1078081533-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-1275210071-1078081533-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-1275210071-1078081533-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: add to &BOM - F:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta ()
O8 - Extra context menu item: Fotoabzug online bestellen ! - hxxp://fotoup.info/ie2wk.php?hid=piqs File not found
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0F4C0848-F29B-40EB-ACCB-F9273E7E2C97}: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - F:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - F:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - F:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - F:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (F:\WINDOWS\system32\userinit.exe) - F:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.23 15:32:59 | 000,000,000 | RHSD | C] -- F:\cmdcons
[2013.02.23 15:27:20 | 000,518,144 | ---- | C] (SteelWerX) -- F:\WINDOWS\SWREG.exe
[2013.02.23 15:27:20 | 000,406,528 | ---- | C] (SteelWerX) -- F:\WINDOWS\SWSC.exe
[2013.02.23 15:27:20 | 000,212,480 | ---- | C] (SteelWerX) -- F:\WINDOWS\SWXCACLS.exe
[2013.02.23 15:27:20 | 000,060,416 | ---- | C] (NirSoft) -- F:\WINDOWS\NIRCMD.exe
[2013.02.23 15:27:17 | 000,000,000 | ---D | C] -- F:\ComboFix
[2013.02.23 15:26:59 | 000,000,000 | ---D | C] -- F:\Qoobox
[2013.02.23 15:26:49 | 000,000,000 | ---D | C] -- F:\WINDOWS\erdnt
[2013.02.23 15:17:25 | 005,034,320 | R--- | C] (Swearware) -- F:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2013.02.23 15:15:32 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun
[2013.02.23 15:14:20 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\Administrator\Desktop\spybot logs
[2013.02.22 23:39:37 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2013.02.22 23:39:36 | 000,000,000 | ---D | C] -- F:\Programme\Gemeinsame Dateien\Java
[2013.02.22 23:28:15 | 000,861,088 | ---- | C] (Oracle Corporation) -- F:\WINDOWS\System32\npDeployJava1.dll
[2013.02.22 23:28:15 | 000,782,240 | ---- | C] (Oracle Corporation) -- F:\WINDOWS\System32\deployJava1.dll
[2013.02.22 23:28:15 | 000,262,560 | ---- | C] (Oracle Corporation) -- F:\WINDOWS\System32\javaws.exe
[2013.02.22 23:28:15 | 000,143,872 | ---- | C] (Oracle Corporation) -- F:\WINDOWS\System32\javacpl.cpl
[2013.02.22 23:28:05 | 000,174,496 | ---- | C] (Oracle Corporation) -- F:\WINDOWS\System32\javaw.exe
[2013.02.22 23:28:05 | 000,094,112 | ---- | C] (Oracle Corporation) -- F:\WINDOWS\System32\WindowsAccessBridge.dll
[2013.02.22 23:28:04 | 000,174,496 | ---- | C] (Oracle Corporation) -- F:\WINDOWS\System32\java.exe
[2013.02.22 22:06:48 | 000,602,112 | ---- | C] (OldTimer Tools) -- F:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2013.02.22 20:26:35 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\ProcAlyzer Dumps
[2013.02.22 20:23:23 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- F:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis204.exe
[2013.02.22 20:20:14 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2013.02.22 20:00:27 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy 2
[2013.02.22 20:00:18 | 000,015,224 | ---- | C] (Safer Networking Limited) -- F:\WINDOWS\System32\sdnclean.exe
[2013.02.22 20:00:08 | 000,000,000 | ---D | C] -- F:\Programme\Spybot - Search & Destroy 2
[2013.02.22 19:48:18 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2013.02.22 19:47:46 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.02.22 19:47:45 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.02.22 19:47:43 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- F:\WINDOWS\System32\drivers\mbam.sys
[2013.02.22 19:47:43 | 000,000,000 | ---D | C] -- F:\Programme\Malwarebytes' Anti-Malware
[2013.02.22 19:40:40 | 000,361,032 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswSP.sys
[2013.02.22 19:40:40 | 000,021,256 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswFsBlk.sys
[2013.02.22 19:40:40 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\avast! Free Antivirus
[2013.02.22 19:40:39 | 000,035,928 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswRdr.sys
[2013.02.22 19:40:38 | 000,738,504 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswSnx.sys
[2013.02.22 19:40:38 | 000,054,232 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswTdi.sys
[2013.02.22 19:40:37 | 000,097,608 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswmon2.sys
[2013.02.22 19:40:37 | 000,089,752 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswmon.sys
[2013.02.22 19:40:36 | 000,025,256 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aavmker4.sys
[2013.02.22 19:39:56 | 000,041,224 | ---- | C] (AVAST Software) -- F:\WINDOWS\avastSS.scr
[2013.02.22 19:39:55 | 000,227,648 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\aswBoot.exe
[2013.02.22 19:39:33 | 000,000,000 | ---D | C] -- F:\Programme\AVAST Software
[2013.02.22 19:39:33 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software
[2013.02.22 19:27:53 | 000,000,000 | ---D | C] -- F:\WINDOWS\CSC
[2013.02.20 09:55:14 | 000,000,000 | ---D | C] -- F:\Programme\Mozilla Firefox
[2013.02.15 09:27:18 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\McAfee Security Scan Plus
[2013.01.30 20:33:51 | 000,000,000 | ---D | C] -- F:\Programme\Gemeinsame Dateien\Adobe
[2013.01.30 20:33:51 | 000,000,000 | ---D | C] -- F:\Programme\Adobe
[7 F:\WINDOWS\*.tmp files -> F:\WINDOWS\*.tmp -> ]
[2 F:\Dokumente und Einstellungen\Administrator\Desktop\*.tmp files -> F:\Dokumente und Einstellungen\Administrator\Desktop\*.tmp -> ]
[1 F:\WINDOWS\System32\*.tmp files -> F:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.23 15:46:40 | 000,000,027 | ---- | M] () -- F:\WINDOWS\System32\drivers\etc\hosts
[2013.02.23 15:33:03 | 000,000,354 | RHS- | M] () -- F:\boot.ini
[2013.02.23 15:25:15 | 000,000,884 | ---- | M] () -- F:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.02.23 15:23:30 | 000,000,612 | ---- | M] () -- F:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job
[2013.02.23 15:23:30 | 000,000,322 | -H-- | M] () -- F:\WINDOWS\tasks\avast! Emergency Update.job
[2013.02.23 15:22:41 | 000,002,048 | --S- | M] () -- F:\WINDOWS\bootstat.dat
[2013.02.23 15:17:57 | 005,034,320 | R--- | M] (Swearware) -- F:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2013.02.23 15:16:56 | 000,587,671 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner0.exe
[2013.02.22 23:27:53 | 000,094,112 | ---- | M] (Oracle Corporation) -- F:\WINDOWS\System32\WindowsAccessBridge.dll
[2013.02.22 23:27:48 | 000,262,560 | ---- | M] (Oracle Corporation) -- F:\WINDOWS\System32\javaws.exe
[2013.02.22 23:27:48 | 000,174,496 | ---- | M] (Oracle Corporation) -- F:\WINDOWS\System32\javaw.exe
[2013.02.22 23:27:48 | 000,174,496 | ---- | M] (Oracle Corporation) -- F:\WINDOWS\System32\java.exe
[2013.02.22 23:27:48 | 000,143,872 | ---- | M] (Oracle Corporation) -- F:\WINDOWS\System32\javacpl.cpl
[2013.02.22 23:27:47 | 000,861,088 | ---- | M] (Oracle Corporation) -- F:\WINDOWS\System32\npDeployJava1.dll
[2013.02.22 23:27:47 | 000,782,240 | ---- | M] (Oracle Corporation) -- F:\WINDOWS\System32\deployJava1.dll
[2013.02.22 22:41:54 | 000,000,000 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2013.02.22 22:24:18 | 000,419,978 | ---- | M] () -- F:\WINDOWS\System32\perfh007.dat
[2013.02.22 22:24:18 | 000,404,548 | ---- | M] () -- F:\WINDOWS\System32\perfh009.dat
[2013.02.22 22:24:18 | 000,076,530 | ---- | M] () -- F:\WINDOWS\System32\perfc007.dat
[2013.02.22 22:24:18 | 000,063,576 | ---- | M] () -- F:\WINDOWS\System32\perfc009.dat
[2013.02.22 22:20:32 | 000,000,608 | ---- | M] () -- F:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job
[2013.02.22 22:20:32 | 000,000,438 | ---- | M] () -- F:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job
[2013.02.22 22:06:50 | 000,602,112 | ---- | M] (OldTimer Tools) -- F:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2013.02.22 21:48:34 | 000,000,243 | ---- | M] () -- F:\Boot.bak
[2013.02.22 20:23:23 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- F:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis204.exe
[2013.02.22 20:00:28 | 000,001,800 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk
[2013.02.22 19:47:47 | 000,000,756 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.22 19:42:35 | 000,000,664 | ---- | M] () -- F:\WINDOWS\System32\d3d9caps.dat
[2013.02.22 19:40:41 | 000,001,653 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk
[2013.02.22 19:40:38 | 000,003,001 | ---- | M] () -- F:\WINDOWS\System32\CONFIG.NT
[2013.02.18 07:58:04 | 000,691,568 | ---- | M] (Adobe Systems Incorporated) -- F:\WINDOWS\System32\FlashPlayerApp.exe
[2013.02.18 07:58:04 | 000,071,024 | ---- | M] (Adobe Systems Incorporated) -- F:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013.02.15 09:27:18 | 000,001,737 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\McAfee Security Scan Plus.lnk
[2013.02.15 09:27:18 | 000,001,731 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
[2013.02.15 09:24:30 | 000,002,278 | ---- | M] () -- F:\WINDOWS\System32\wpa.dbl
[2013.01.30 20:34:22 | 000,001,714 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk
[7 F:\WINDOWS\*.tmp files -> F:\WINDOWS\*.tmp -> ]
[2 F:\Dokumente und Einstellungen\Administrator\Desktop\*.tmp files -> F:\Dokumente und Einstellungen\Administrator\Desktop\*.tmp -> ]
[1 F:\WINDOWS\System32\*.tmp files -> F:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.23 15:33:03 | 000,000,243 | ---- | C] () -- F:\Boot.bak
[2013.02.23 15:33:00 | 000,262,448 | RHS- | C] () -- F:\cmldr
[2013.02.23 15:27:20 | 000,256,000 | ---- | C] () -- F:\WINDOWS\PEV.exe
[2013.02.23 15:27:20 | 000,208,896 | ---- | C] () -- F:\WINDOWS\MBR.exe
[2013.02.23 15:27:20 | 000,098,816 | ---- | C] () -- F:\WINDOWS\sed.exe
[2013.02.23 15:27:20 | 000,080,412 | ---- | C] () -- F:\WINDOWS\grep.exe
[2013.02.23 15:27:20 | 000,068,096 | ---- | C] () -- F:\WINDOWS\zip.exe
[2013.02.23 15:16:56 | 000,587,671 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner0.exe
[2013.02.22 22:41:54 | 000,000,000 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2013.02.22 20:00:46 | 000,000,608 | ---- | C] () -- F:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job
[2013.02.22 20:00:46 | 000,000,438 | ---- | C] () -- F:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job
[2013.02.22 20:00:45 | 000,000,612 | ---- | C] () -- F:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job
[2013.02.22 20:00:28 | 000,001,806 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot-S&D Start Center.lnk
[2013.02.22 20:00:28 | 000,001,800 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk
[2013.02.22 19:47:47 | 000,000,756 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.22 19:42:35 | 000,000,664 | ---- | C] () -- F:\WINDOWS\System32\d3d9caps.dat
[2013.02.22 19:40:41 | 000,001,653 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk
[2013.02.22 19:40:38 | 000,000,322 | -H-- | C] () -- F:\WINDOWS\tasks\avast! Emergency Update.job
[2013.02.15 09:27:18 | 000,001,737 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\McAfee Security Scan Plus.lnk
[2013.01.30 20:34:22 | 000,001,804 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader XI.lnk
[2013.01.30 20:34:22 | 000,001,714 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk
[2009.02.22 14:30:45 | 000,000,336 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\IfolorJavaUpload.data
[2009.01.18 00:00:44 | 000,056,320 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.07.06 15:41:32 | 001,003,608 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mdbu.bin
[2008.07.03 20:35:37 | 000,000,113 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\default.pls
[2008.06.15 19:46:29 | 000,148,263 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mdb.bin
[2008.06.15 16:44:31 | 000,000,146 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2008.06.15 16:41:02 | 000,000,227 | RHS- | M] () -- F:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2004.09.29 19:47:53 | 001,483,776 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2004.11.11 13:00:00 | 000,472,064 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2004.11.11 13:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.05.27 21:38:09 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Awem
[2010.07.17 18:40:14 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BOM
[2011.05.27 21:04:18 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox
[2008.06.16 18:58:53 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
[2009.02.01 19:13:21 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ifolor
[2011.06.08 14:19:04 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Notepad++
[2008.09.13 20:19:34 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Panasonic
[2011.06.12 11:51:38 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PhotoScape
[2010.07.17 18:38:15 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PreisHai4
[2009.02.07 12:51:13 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Snapfish
[2009.12.24 00:25:32 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TimeQuest
[2010.09.08 11:20:29 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue
[2012.07.03 09:25:07 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wtxpcom
[2012.10.14 18:52:08 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AlawarWrapper
[2013.02.22 19:39:33 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software
[2009.04.03 21:32:29 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AWEM
[2013.02.23 15:19:59 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2009.02.01 20:34:17 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ifolor
[2009.02.07 13:49:13 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LIDL Fotoservice
[2009.10.17 18:02:13 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lidl_Fotos
[2009.12.24 00:24:30 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oberon Media
[2010.09.08 14:39:08 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
[2009.02.01 13:26:08 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
 
========== Purity Check ==========
 
 

< End of report >
         
--- --- ---



OTL Extras


OTL Logfile:
Code:
ATTFilter
OTL Extras logfile created on: 23.02.2013 15:52:17 - Run 3
OTL by OldTimer - Version 3.2.69.0     Folder = F:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,94 Gb Total Physical Memory | 1,39 Gb Available Physical Memory | 71,60% Memory free
3,79 Gb Paging File | 3,48 Gb Available in Paging File | 91,75% Paging File free
Paging file location(s): F:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = F: | %SystemRoot% = F:\WINDOWS | %ProgramFiles% = F:\Programme
Drive F: | 149,04 Gb Total Space | 20,37 Gb Free Space | 13,67% Space Free | Partition Type: NTFS
 
Computer Name: WINDOWSPC | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
 
[HKEY_USERS\S-1-5-21-1275210071-1078081533-725345543-500\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- F:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
https [open] -- Reg Error: Key error.
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [Winamp.Bookmark] -- "F:\Programme\Winamp\winamp.exe" /BOOKMARK "%1" (Nullsoft)
Directory [Winamp.Enqueue] -- "F:\Programme\Winamp\winamp.exe" /ADD "%1" (Nullsoft)
Directory [Winamp.Play] -- "F:\Programme\Winamp\winamp.exe" "%1" (Nullsoft)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"F:\Programme\ICQ6.5\ICQ.exe" = F:\Programme\ICQ6.5\ICQ.exe:*:Enabled:ICQ6 -- (ICQ, LLC.)
"F:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe" = F:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\WebKit2WebProcess.exe:*:Enabled:WebKit -- (Apple Inc.)
"F:\Programme\Spybot - Search & Destroy 2\SDTray.exe" = F:\Programme\Spybot - Search & Destroy 2\SDTray.exe:*:Enabled:Spybot-S&D 2 Tray Icon -- (Safer-Networking Ltd.)
"F:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe" = F:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe:*:Enabled:Spybot-S&D 2 Scanner Service -- (Safer-Networking Ltd.)
"F:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe" = F:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe:*:Enabled:Spybot-S&D 2 Updater -- (Safer-Networking Ltd.)
"F:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe" = F:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe:*:Enabled:Spybot-S&D 2 Background update service -- (Safer-Networking Ltd.)
"F:\Programme\Spybot - Search & Destroy 2\SDFiles.exe" = F:\Programme\Spybot - Search & Destroy 2\SDFiles.exe:*:Enabled:Single file on-demand scanner -- (Safer-Networking Ltd.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{1A6A6531-08FC-47AD-BAC4-C41497E71031}" = Nero 7 Essentials
"{1CB92574-96F2-467B-B793-5CEB35C40C29}" = Image Resizer Powertoy for Windows XP
"{26A24AE4-039D-4CA4-87B4-2F83217015FF}" = Java 7 Update 15
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{43DCF766-6838-4F9A-8C91-D92DA586DFA7}" = Microsoft Windows-Journal-Viewer
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5490882C-6961-11D5-BAE5-00E0188E010B}" = FUJIFILM USB Driver
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5B25274F-088A-4A24-AE12-4AEE9278025A}" = SILKYPIX Developer Studio 2.1 SE
"{60DE4033-9503-48D1-A483-7846BD217CA9}" = ICQ6.5
"{67DAF4C3-58CA-4EDB-B734-D97684FC379E}" = General Runtime Files for Nemetschek Allplan 2009
"{6A3F9D74-BB80-4451-8CA1-4B3A857F1359}" = Apple Application Support
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{7262D0C8-41CC-4F75-8383-A6C7C61D7FC6}" = Nemetschek SoftLock 2006
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{7C7F30F4-94E7-4AA8-8941-90C4A80C68BF}" = NVIDIA nTune
"{8927E07C-97F7-4A54-88FB-D976F50DD46E}" = Turbo Lister 2
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9A9DBEBC-C800-4776-A970-D76D6AA405B1}" = PHOTOfunSTUDIO -viewer-
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) - Deutsch
"{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1" = Spybot - Search & Destroy
"{BAAE49C1-2844-4614-BCB9-1485569E344D}" = pdfforge Toolbar v6.9
"{BAED3957-C271-4670-A50D-8D7438701917}" = Nemetschek Allplan 2009
"{C9E14402-3631-4182-B377-6B0DFB1C0339}" = QuickTime
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F19F7B24-AAD4-4236-8475-5335483DA676}" = Avery Wizard 3.1
"{F6869CD2-3DB4-476D-A4C7-B3AE7C3ACF7B}" = Windows Media Connect
"{FCE65C4E-B0E8-4FBD-AD16-EDCBE6CD591F}" = HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"avast" = avast! Free Antivirus
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"Biet-O-Matic v2.14.0" = Biet-O-Matic v2.14.0
"InstallShield_{5B25274F-088A-4A24-AE12-4AEE9278025A}" = SILKYPIX Developer Studio 2.1 SE
"InstallShield_{7C7F30F4-94E7-4AA8-8941-90C4A80C68BF}" = NVIDIA nTune
"Lidl-Fotos_is1" = Lidl-Fotos
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"McAfee Security Scan" = McAfee Security Scan Plus
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Mozilla Firefox 19.0 (x86 de)" = Mozilla Firefox 19.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"Notepad++" = Notepad++
"NVIDIA Drivers" = NVIDIA Drivers
"PhotoScape" = PhotoScape
"PreisHai_is1" = PreisHai 4.1
"ShockwaveFlash" = Adobe Flash Player 9 ActiveX
"VLC media player" = VideoLAN VLC media player 0.8.6h
"Winamp" = Winamp
"Windows Media Connect" = Windows Media Connect
"WinGimp-2.0_is1" = GIMP 2.6.10
"WinRAR archiver" = WinRAR
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 03.01.2013 11:19:23 | Computer Name = WINDOWSPC | Source = Microsoft Office 11 | ID = 1000
Description = Faulting application outlook.exe, version 11.0.6353.0, stamp 408f2937,
 faulting module urlmon.dll, version 6.0.2900.2518, stamp 415b0359, debug? 0, fault
 address 0x00038eee.
 
Error - 06.01.2013 04:36:28 | Computer Name = WINDOWSPC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung dd.exe, Version 1.14.0.2, fehlgeschlagenes
 Modul kernel32.dll, Version 5.1.2600.2180, Fehleradresse 0x0001eb33.
 
Error - 11.01.2013 04:43:08 | Computer Name = WINDOWSPC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung dd.exe, Version 1.14.0.2, fehlgeschlagenes
 Modul kernel32.dll, Version 5.1.2600.2180, Fehleradresse 0x0001eb33.
 
Error - 31.01.2013 12:25:19 | Computer Name = WINDOWSPC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung dd.exe, Version 1.14.0.2, fehlgeschlagenes
 Modul kernel32.dll, Version 5.1.2600.2180, Fehleradresse 0x0001eb33.
 
Error - 03.02.2013 04:22:37 | Computer Name = WINDOWSPC | Source = ESENT | ID = 490
Description = svchost (1068) Versuch, Datei "F:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 07.02.2013 15:15:14 | Computer Name = WINDOWSPC | Source = Microsoft Office 11 | ID = 1000
Description = Faulting application outlook.exe, version 11.0.6353.0, stamp 408f2937,
 faulting module urlmon.dll, version 6.0.2900.2518, stamp 415b0359, debug? 0, fault
 address 0x00038eee.
 
Error - 21.02.2013 15:01:59 | Computer Name = WINDOWSPC | Source = ESENT | ID = 490
Description = svchost (1068) Versuch, Datei "F:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 21.02.2013 15:02:00 | Computer Name = WINDOWSPC | Source = ESENT | ID = 470
Description = Catalog Database (1068) Datenbank F:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb
 wurde teilweise angehängt. Anhängungsstufe: 3. Fehler: -1032.
 
Error - 22.02.2013 15:28:32 | Computer Name = WINDOWSPC | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung sdtools.exe, Version 2.0.12.150, fehlgeschlagenes
 Modul rtl150.bpl, Version 15.0.3953.35171, Fehleradresse 0x0000c0a6.
 
Error - 22.02.2013 17:22:35 | Computer Name = WINDOWSPC | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
 
[ System Events ]
Error - 22.02.2013 17:22:35 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "WMI-Leistungsadapter" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%1053
 
Error - 23.02.2013 10:02:39 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Support Shell" wurde mit folgendem Fehler beendet:   %%126
 
Error - 23.02.2013 10:02:39 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Spybot-S&D
 2 Security Center Service.
 
Error - 23.02.2013 10:02:39 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Spybot-S&D 2 Security Center Service" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1053
 
Error - 23.02.2013 10:09:23 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Support Shell" wurde mit folgendem Fehler beendet:   %%126
 
Error - 23.02.2013 10:09:23 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Spybot-S&D
 2 Security Center Service.
 
Error - 23.02.2013 10:09:23 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Spybot-S&D 2 Security Center Service" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1053
 
Error - 23.02.2013 10:24:01 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Support Shell" wurde mit folgendem Fehler beendet:   %%126
 
Error - 23.02.2013 10:24:01 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7009
Description = Zeitüberschreitung (30000 ms) beim Verbindungsversuch mit Dienst Spybot-S&D
 2 Security Center Service.
 
Error - 23.02.2013 10:24:01 | Computer Name = WINDOWSPC | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Spybot-S&D 2 Security Center Service" wurde aufgrund folgenden
 Fehlers nicht gestartet:   %%1053
 
 
< End of report >
         
--- --- ---



Frage ausserhalb des Problems:
Kann der ADW Cleaner (kannte das Tool bisher nicht) auch ohne Gefahr auf anderen Rechnern eingesetzt werden um ggf eine Systembereinigung vorzunehmen , falls inhalte von Spybot nd Co nicht geshen werden?


Danke und Grüße

Angehängte Dateien
Dateityp: log hijackthis.log (8,8 KB, 155x aufgerufen)
Dateityp: log RootkitQuickScan.log (1,3 KB, 145x aufgerufen)

Alt 23.02.2013, 19:59   #6
aharonov
/// TB-Ausbilder
 
pdf Exploit - Telekom Rechnung - Standard

pdf Exploit - Telekom Rechnung



Hallo,

Zitat:
Kann der ADW Cleaner (kannte das Tool bisher nicht) auch ohne Gefahr auf anderen Rechnern eingesetzt werden um ggf eine Systembereinigung vorzunehmen , falls inhalte von Spybot nd Co nicht geshen werden?
Der AdwCleaner entfernt nicht Malware im engeren Sinne, sondern Adware (unerwünschte Toolbars und Ähnliches, welche oft bei Installationen noch mitkommen). Du kannst ihn ohne Bedenken selbst ausführen.


Schritt 1

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschliesslich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!
  • Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link.
  • Speichere es erneut auf den Desktop (wichtig!).
  • Drücke die {Windows} + R Taste, schreibe notepad in das Ausführen Fenster und drücke OK.
  • Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
    Code:
    ATTFilter
    Driver::
    hfpmyblk
    
    NetSvc::
    hfpmyblk
             
  • Speichere dies als CFScript.txt auf deinen Desktop.
  • Wichtig: Stelle deine Antiviren-Software temporär ab. Diese kann ComboFix bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Schliesse alle anderen laufenden Programme, damit ComboFix ungehindert arbeiten kann.
  • Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
  • Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Wenn ComboFix fertig ist, wird es ein Log erstellen (C:\ComboFix.txt).
  • Bitte füge den Inhalt dieses Logs in deine Antwort ein.



Bitte poste in deiner nächsten Antwort:
  • Log von Combofix
__________________
--> pdf Exploit - Telekom Rechnung

Alt 23.02.2013, 21:19   #7
jenlowang
 
pdf Exploit - Telekom Rechnung - Standard

pdf Exploit - Telekom Rechnung



Combofix ausgeführt, Rechner hat Neustart durchgeführt

anbei das Log

[code]
Combofix Logfile:
Code:
ATTFilter
ComboFix 13-02-23.01 - Administrator 23.02.2013  21:17:54.2.2 - x86
Microsoft Windows XP Professional  5.1.2600.2.1252.49.1031.18.1983.1276 [GMT 1:00]
ausgeführt von:: f:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: f:\dokumente und einstellungen\Administrator\Desktop\CFScript.txt
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_HFPMYBLK
-------\Service_hfpmyblk
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-23 bis 2013-02-23  ))))))))))))))))))))))))))))))
.
.
2013-02-23 14:15 . 2013-02-23 14:15	--------	d-----w-	f:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun
2013-02-22 22:39 . 2013-02-22 22:39	--------	d-----w-	f:\programme\Gemeinsame Dateien\Java
2013-02-22 22:28 . 2013-02-22 22:27	143872	----a-w-	f:\windows\system32\javacpl.cpl
2013-02-22 22:28 . 2013-02-22 22:27	861088	----a-w-	f:\windows\system32\npDeployJava1.dll
2013-02-22 22:28 . 2013-02-22 22:27	782240	----a-w-	f:\windows\system32\deployJava1.dll
2013-02-22 22:28 . 2013-02-22 22:27	94112	----a-w-	f:\windows\system32\WindowsAccessBridge.dll
2013-02-22 19:20 . 2013-02-22 21:22	--------	d-----w-	f:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2013-02-22 19:00 . 2009-01-25 11:14	15224	----a-w-	f:\windows\system32\sdnclean.exe
2013-02-22 19:00 . 2013-02-22 19:00	--------	d-----w-	f:\programme\Spybot - Search & Destroy 2
2013-02-22 18:48 . 2013-02-22 18:48	--------	d-----w-	f:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2013-02-22 18:47 . 2013-02-22 18:47	--------	d-----w-	f:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-02-22 18:47 . 2013-02-22 18:47	--------	d-----w-	f:\programme\Malwarebytes' Anti-Malware
2013-02-22 18:47 . 2012-12-14 15:49	21104	----a-w-	f:\windows\system32\drivers\mbam.sys
2013-02-22 18:40 . 2012-10-30 22:51	361032	----a-w-	f:\windows\system32\drivers\aswSP.sys
2013-02-22 18:40 . 2012-10-30 22:51	21256	----a-w-	f:\windows\system32\drivers\aswFsBlk.sys
2013-02-22 18:40 . 2012-10-30 22:51	35928	----a-w-	f:\windows\system32\drivers\aswRdr.sys
2013-02-22 18:40 . 2012-10-30 22:51	738504	----a-w-	f:\windows\system32\drivers\aswSnx.sys
2013-02-22 18:40 . 2012-10-30 22:51	54232	----a-w-	f:\windows\system32\drivers\aswTdi.sys
2013-02-22 18:40 . 2012-10-30 22:51	97608	----a-w-	f:\windows\system32\drivers\aswmon2.sys
2013-02-22 18:40 . 2012-10-30 22:51	89752	----a-w-	f:\windows\system32\drivers\aswmon.sys
2013-02-22 18:40 . 2012-10-30 22:51	25256	----a-w-	f:\windows\system32\drivers\aavmker4.sys
2013-02-22 18:39 . 2012-10-30 22:51	41224	----a-w-	f:\windows\avastSS.scr
2013-02-22 18:39 . 2012-10-30 22:50	227648	----a-w-	f:\windows\system32\aswBoot.exe
2013-02-22 18:39 . 2013-02-22 18:39	--------	d-----w-	f:\programme\AVAST Software
2013-02-22 18:39 . 2013-02-22 18:39	--------	d-----w-	f:\dokumente und einstellungen\All Users\Anwendungsdaten\AVAST Software
2013-02-15 22:04 . 2013-02-15 22:04	208448	----a-w-	f:\programme\Internet Explorer\PLUGINS\nppdf32.dll
2013-01-30 19:33 . 2013-01-30 19:34	--------	d-----w-	f:\programme\Gemeinsame Dateien\Adobe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-18 06:58 . 2012-04-02 12:45	691568	----a-w-	f:\windows\system32\FlashPlayerApp.exe
2013-02-18 06:58 . 2011-05-16 17:23	71024	----a-w-	f:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-20 08:55 . 2013-02-20 08:55	263064	----a-w-	f:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2012-10-30 22:50	121528	----a-w-	f:\programme\AVAST Software\Avast\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIDIA nTune"="f:\programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2007-07-20 81920]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="f:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-01 153136]
"Device Detection"="f:\programme\Lidl_Fotos\dd.exe" [2012-10-12 800704]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="f:\windows\system32\NvCpl.dll" [2007-10-04 8491008]
"nwiz"="nwiz.exe" [2007-10-04 1626112]
"RTHDCPL"="RTHDCPL.EXE" [2007-08-20 16384512]
"NeroFilterCheck"="f:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"REGSHAVE"="f:\programme\REGSHAVE\REGSHAVE.EXE" [2002-02-04 53248]
"NvMediaCenter"="f:\windows\system32\NvMcTray.dll" [2007-10-04 81920]
"WinampAgent"="f:\programme\Winamp\winampa.exe" [2008-04-01 36352]
"QuickTime Task"="f:\programme\QuickTime\QTTask.exe" [2011-07-05 421888]
"Adobe ARM"="f:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-18 946352]
"avast"="f:\programme\AVAST Software\Avast\avastUI.exe" [2012-10-30 4297136]
"SDTray"="f:\programme\Spybot - Search & Destroy 2\SDTray.exe" [2012-11-13 3825176]
"SunJavaUpdateSched"="f:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="f:\windows\system32\CTFMON.EXE" [2004-11-11 15360]
.
f:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
McAfee Security Scan Plus.lnk - f:\programme\McAfee Security Scan\3.0.318\SSScheduler.exe [2013-2-5 272248]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0\0sdnclean.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"RegistryBooster"="f:\programme\Uniblue\RegistryBooster\launcher.exe" delay 20000 
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"f:\\Programme\\ICQ6.5\\ICQ.exe"=
"f:\\Programme\\Gemeinsame Dateien\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"f:\\Programme\\Spybot - Search & Destroy 2\\SDTray.exe"=
"f:\\Programme\\Spybot - Search & Destroy 2\\SDFSSvc.exe"=
"f:\\Programme\\Spybot - Search & Destroy 2\\SDUpdate.exe"=
"f:\\Programme\\Spybot - Search & Destroy 2\\SDUpdSvc.exe"=
"f:\\Programme\\Spybot - Search & Destroy 2\\SDFiles.exe"=
.
R1 aswSnx;aswSnx;f:\windows\system32\drivers\aswSnx.sys [22.02.2013 19:40 738504]
R1 aswSP;aswSP;f:\windows\system32\drivers\aswSP.sys [22.02.2013 19:40 361032]
R2 aswFsBlk;aswFsBlk;f:\windows\system32\drivers\aswFsBlk.sys [22.02.2013 19:40 21256]
R2 SDScannerService;Spybot-S&D 2 Scanner Service;f:\programme\Spybot - Search & Destroy 2\SDFSSvc.exe [22.02.2013 20:00 1103392]
R2 SDUpdateService;Spybot-S&D 2 Updating Service;f:\programme\Spybot - Search & Destroy 2\SDUpdSvc.exe [22.02.2013 20:00 1369624]
S2 SDWSCService;Spybot-S&D 2 Security Center Service;f:\programme\Spybot - Search & Destroy 2\SDWSCSvc.exe [22.02.2013 20:00 168384]
S3 McComponentHostService;McAfee Security Scan Component Host Service;f:\programme\McAfee Security Scan\3.0.318\McCHSvc.exe [05.02.2013 16:48 235216]
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-23 f:\windows\Tasks\Adobe Flash Player Updater.job
- f:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-02 06:58]
.
2013-02-23 f:\windows\Tasks\avast! Emergency Update.job
- f:\programme\AVAST Software\Avast\AvastEmUpdate.exe [2013-02-22 22:50]
.
2013-02-23 f:\windows\Tasks\Check for updates (Spybot - Search & Destroy).job
- f:\programme\Spybot - Search & Destroy 2\SDUpdate.exe [2013-02-22 13:08]
.
2013-02-22 f:\windows\Tasks\Refresh immunization (Spybot - Search & Destroy).job
- f:\programme\Spybot - Search & Destroy 2\SDImmunize.exe [2013-02-22 13:07]
.
2013-02-22 f:\windows\Tasks\Scan the system (Spybot - Search & Destroy).job
- f:\programme\Spybot - Search & Destroy 2\SDScan.exe [2013-02-22 13:07]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: add to &BOM - f:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
IE: Fotoabzug online bestellen ! - hxxp://fotoup.info/ie2wk.php?hid=piqs
IE: Nach Microsoft &Excel exportieren - f:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.0.1
FF - ProfilePath - f:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.ebay.de/
FF - prefs.js: keyword.URL - 
FF - ExtSQL: 2013-02-22 19:40; wrc@avast.com; f:\programme\AVAST Software\Avast\WebRep\FF
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-23 21:25
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(736)
f:\windows\system32\sfc_os.dll
.
- - - - - - - > 'explorer.exe'(2992)
f:\windows\system32\MSCTF.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
f:\programme\AVAST Software\Avast\AvastSvc.exe
f:\programme\Java\jre7\bin\jqs.exe
f:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
f:\programme\NVIDIA Corporation\nTune\nTuneService.exe
f:\windows\system32\nvsvc32.exe
f:\windows\system32\wbem\wmiapsrv.exe
f:\windows\system32\wscntfy.exe
f:\windows\RTHDCPL.EXE
f:\windows\system32\RUNDLL32.EXE
f:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
f:\programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-02-23  21:27:53 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-02-23 20:27
ComboFix2.txt  2013-02-23 14:48
.
Vor Suchlauf: 5 Verzeichnis(se), 21.847.973.888 Bytes frei
Nach Suchlauf: 6 Verzeichnis(se), 21.821.534.208 Bytes frei
.
- - End Of File - - E66DE88090453EA7BEA328FD205DE07B
         
--- --- ---

Alt 24.02.2013, 13:21   #8
aharonov
/// TB-Ausbilder
 
pdf Exploit - Telekom Rechnung - Standard

pdf Exploit - Telekom Rechnung



Hallo,

wie läuft der Rechner im Moment? Sind noch Probleme zu erkennen?


Schritt 1
  • Starte bitte die OTL.exe.
  • Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
    Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.
Code:
ATTFilter
:commands
[emptytemp]
         
  • Schliesse nun bitte alle anderen Programme.
  • Klicke jetzt auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
  • Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
    (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
  • Kopiere nun dessen Inhalt hier in deinen Thread.



Schritt 2

Downloade dir bitte Malwarebytes Anti-Malware .
  • Installiere das Programm in den vorgegebenen Pfad.
  • Starte nun Malwarebytes Anti-Malware.
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Klicke auf Aktualisierung --> Suche nach Aktualisierung.
  • Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
  • Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.



Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.
  • Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
  • Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
    (Danach nicht vergessen, sie wieder einzuschalten.)
  • Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
  • Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
  • Warte bis die Komponenten heruntergeladen sind.
  • Setze den Haken bei Scan archives.
  • Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
  • Drücke dann auf Start.
  • Die Signaturen werden heruntergeladen und der Scan startet automatisch.
    Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
  • Falls nach Beendigung des Scans Funde angezeigt werden, dann:
    • Drücke auf List of found threats.
    • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
    • Drücke danach auf << Back.
  • Schliesse nun den Scanner mit einem Klick auf Finish.
Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Starte bitte die OTL.exe.
  • Setze den Haken bei Scan all Users.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.



Schritt 5

Downloade dir bitte SecurityCheck (Link 2).
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Fixlog von OTL
  • Log von MBAM
  • Log von ESET
  • Log von OTL
  • Log von SecurityCheck
__________________
cheers,
Leo

Alt 24.02.2013, 18:18   #9
jenlowang
 
pdf Exploit - Telekom Rechnung - Standard

pdf Exploit - Telekom Rechnung



Der Rechner hat sich bisher vollkommen unauffällig verhalten.

Fixlog OTL
Code:
ATTFilter
All processes killed
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 588969 bytes
->Temporary Internet Files folder emptied: 71829629 bytes
->Java cache emptied: 11439106 bytes
->FireFox cache emptied: 416079670 bytes
->Google Chrome cache emptied: 6866556 bytes
->Flash cache emptied: 132142 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1250472 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 345471 bytes
 
Total Files Cleaned = 485,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 02242013_163731

Files\Folders moved on Reboot...
File move failed. F:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
         
Malwarebytes Log
Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.24.04

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
Administrator :: WINDOWSPC [Administrator]

24.02.2013 16:50:22
mbam-log-2013-02-24 (16-50-22).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 202374
Laufzeit: 4 Minute(n), 15 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
ESET --> kein Log nichts gefunden

OTL LOg
OTL Logfile:
Code:
ATTFilter
OTL logfile created on: 24.02.2013 18:32:41 - Run 4
OTL by OldTimer - Version 3.2.69.0     Folder = F:\Dokumente und Einstellungen\Administrator\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,94 Gb Total Physical Memory | 1,22 Gb Available Physical Memory | 62,88% Memory free
3,79 Gb Paging File | 3,30 Gb Available in Paging File | 87,01% Paging File free
Paging file location(s): F:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = F: | %SystemRoot% = F:\WINDOWS | %ProgramFiles% = F:\Programme
Drive F: | 149,04 Gb Total Space | 20,75 Gb Free Space | 13,92% Space Free | Partition Type: NTFS
 
Computer Name: WINDOWSPC | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - F:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
PRC - F:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe (OldTimer Tools)
PRC - F:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
PRC - F:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe (Safer-Networking Ltd.)
PRC - F:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe (Safer-Networking Ltd.)
PRC - F:\Programme\AVAST Software\Avast\AvastUI.exe (AVAST Software)
PRC - F:\Programme\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
PRC - F:\Programme\Lidl_Fotos\dd.exe ()
PRC - F:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - F:\Programme\Winamp\winampa.exe ()
PRC - F:\Programme\NVIDIA Corporation\nTune\nTuneService.exe (NVIDIA)
PRC - F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe (Nero AG)
PRC - F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
PRC - F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
PRC - F:\WINDOWS\explorer.exe (Microsoft Corporation)
PRC - F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - F:\Programme\AVAST Software\Avast\defs\13022400\algo.dll ()
MOD - F:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - F:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_168.dll ()
MOD - F:\Programme\Spybot - Search & Destroy 2\snlFileFormats150.bpl ()
MOD - F:\Programme\Spybot - Search & Destroy 2\snlThirdParty150.bpl ()
MOD - F:\Programme\Spybot - Search & Destroy 2\VirtualTreesDXE150.bpl ()
MOD - F:\Programme\Spybot - Search & Destroy 2\JSDialogPack150.bpl ()
MOD - F:\Programme\Spybot - Search & Destroy 2\DEC150.bpl ()
MOD - F:\Programme\Lidl_Fotos\dd.exe ()
MOD - F:\Programme\Spybot - Search & Destroy 2\sqlite3.dll ()
MOD - F:\Programme\WinRAR\RarExt.dll ()
MOD - F:\Programme\Winamp\winampa.exe ()
MOD - F:\WINDOWS\system32\nvshell.dll ()
MOD - F:\WINDOWS\system32\msdmo.dll ()
MOD - F:\WINDOWS\system32\pdfcmnnt.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (SDWSCService) -- F:\Programme\Spybot File not found
SRV - (SDUpdateService) -- F:\Programme\Spybot File not found
SRV - (SDScannerService) -- F:\Programme\Spybot File not found
SRV - (JavaQuickStarterService) -- F:\Programme\Java\jre7\bin\jqs.exe (Oracle Corporation)
SRV - (MozillaMaintenance) -- F:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AdobeFlashPlayerUpdateSvc) -- F:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (McComponentHostService) -- F:\Programme\McAfee Security Scan\3.0.318\McCHSvc.exe (McAfee, Inc.)
SRV - (avast! Antivirus) -- F:\Programme\AVAST Software\Avast\AvastSvc.exe (AVAST Software)
SRV - (nTuneService) -- F:\Programme\NVIDIA Corporation\nTune\nTuneService.exe (NVIDIA)
SRV - (NMIndexingService) -- F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (Nero AG)
SRV - (IDriverT) -- F:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe (Macrovision Corporation)
SRV - (WmcCds) -- f:\Programme\Windows Media Connect\mswmccds.exe (Microsoft Corporation)
SRV - (WmcCdsLs) -- F:\Programme\Windows Media Connect\mswmcls.exe (Microsoft Corporation)
SRV - (ose) -- F:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- F:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (GMSIPCI) -- E:\INSTALL\GMSIPCI.SYS File not found
DRV - (Changer) --  File not found
DRV - (catchme) -- F:\ComboFix\catchme.sys File not found
DRV - (aswSnx) -- F:\WINDOWS\System32\drivers\aswSnx.sys (AVAST Software)
DRV - (aswSP) -- F:\WINDOWS\System32\drivers\aswSP.sys (AVAST Software)
DRV - (aswTdi) -- F:\WINDOWS\System32\drivers\aswTdi.sys (AVAST Software)
DRV - (AswRdr) -- F:\WINDOWS\System32\drivers\aswRdr.sys (AVAST Software)
DRV - (aswMon2) -- F:\WINDOWS\System32\drivers\aswmon2.sys (AVAST Software)
DRV - (Aavmker4) -- F:\WINDOWS\System32\drivers\aavmker4.sys (AVAST Software)
DRV - (aswFsBlk) -- F:\WINDOWS\System32\drivers\aswFsBlk.sys (AVAST Software)
DRV - (RT73) -- F:\WINDOWS\system32\drivers\Dr71WU.sys (Ralink Technology, Corp.)
DRV - (ssmdrv) -- F:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (nvnetbus) -- F:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)
DRV - (NVENETFD) -- F:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)
DRV - (IntcAzAudAddService) -- F:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (NVR0Dev) -- F:\WINDOWS\nvoclock.sys (NVidia Corp.)
DRV - (nvsmu) -- F:\WINDOWS\system32\drivers\nvsmu.sys (NVIDIA Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
 
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\..\SearchScopes\{E08A9998-D98F-476f-8F5C-37C80FE0A4DA}: "URL" = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2528046
IE - HKU\S-1-5-21-1275210071-1078081533-725345543-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "Yahoo"
FF - prefs.js..browser.search.param.yahoo-fr: ""
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.ebay.de/"
FF - prefs.js..extensions.enabledAddons: toolbar%40gmx.net:2.3.4
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0
FF - prefs.js..extensions.enabledItems: {800b5000-a755-47e1-992b-48a1c1357f07}:1.1.5
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: moveplayer@movenetworks.com:1.0.0.071303000004
FF - prefs.js..extensions.enabledItems: {635abd67-4fe9-1b23-4f01-e679fa7484c1}:1.6.5.200812101546
FF - prefs.js..extensions.enabledItems: pdfforge@mybrowserbar.com:1.1.2
FF - prefs.js..extensions.enabledItems: searchsettings@spigot.com:1.2.3
FF - prefs.js..keyword.URL: ""
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: F:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_168.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.15.2: F:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.15.2: F:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: F:\Programme\McAfee Security Scan\3.0.318\npMcAfeeMss.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player:  File not found
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll (Zylom)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: F:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player:  File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\wrc@avast.com: F:\Programme\AVAST Software\Avast\WebRep\FF [2013.02.22 19:40:29 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0\extensions\\Components: F:\Programme\Mozilla Firefox\components [2013.02.20 09:55:31 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0\extensions\\Plugins: F:\Programme\Mozilla Firefox\plugins [2013.02.22 23:28:15 | 000,000,000 | ---D | M]
 
[2008.08.28 21:53:39 | 000,000,000 | ---D | M] (No name found) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2013.02.23 15:20:04 | 000,000,000 | ---D | M] (No name found) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions
[2012.10.15 17:22:43 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2009.05.26 19:31:02 | 000,000,000 | ---D | M] (Move Media Player) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions\moveplayer@movenetworks.com
[2012.11.21 23:44:52 | 000,500,206 | ---- | M] () (No name found) -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\extensions\toolbar@gmx.net.xpi
[2010.09.13 09:24:35 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-10.xml
[2010.09.18 10:56:26 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-11.xml
[2010.11.04 07:52:31 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-12.xml
[2010.11.07 13:09:39 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-13.xml
[2010.12.12 00:13:51 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-14.xml
[2011.03.05 19:49:41 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-15.xml
[2011.03.06 00:36:51 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-16.xml
[2011.03.25 21:35:29 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-17.xml
[2011.04.30 10:09:02 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-18.xml
[2011.07.18 19:31:13 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-19.xml
[2010.04.03 09:04:28 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-4.xml
[2010.06.27 11:42:36 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-5.xml
[2010.07.10 09:27:07 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-6.xml
[2010.07.21 08:37:54 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-7.xml
[2010.07.24 21:00:10 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-8.xml
[2010.09.08 12:24:42 | 000,000,950 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\odv8bsm5.default\searchplugins\icqplugin-9.xml
[2013.02.20 09:55:20 | 000,000,000 | ---D | M] (No name found) -- F:\Programme\Mozilla Firefox\extensions
[2013.02.20 09:55:20 | 000,000,000 | ---D | M] ("ICQ Toolbar") -- F:\Programme\Mozilla Firefox\extensions\{800b5000-a755-47e1-992b-48a1c1357f07}
[2013.02.20 09:55:15 | 000,000,000 | ---D | M] (No name found) -- F:\Programme\Mozilla Firefox\distribution\extensions
[2013.02.20 09:55:17 | 000,000,000 | ---D | M] (GMX MailCheck) -- F:\Programme\Mozilla Firefox\distribution\extensions\toolbar@gmx.net
[2013.02.20 09:55:31 | 000,263,064 | ---- | M] (Mozilla Foundation) -- F:\Programme\mozilla firefox\components\browsercomps.dll
[2008.09.15 11:52:06 | 000,376,832 | ---- | M] ( ) -- F:\Programme\mozilla firefox\plugins\npsnapfish.dll
[2006.07.31 16:07:16 | 000,098,304 | ---- | M] (Zylom) -- F:\Programme\mozilla firefox\plugins\npzylomgamesplayer.dll
[2012.06.01 17:33:00 | 000,001,392 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.11.15 09:26:39 | 000,002,465 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.06.01 17:33:00 | 000,001,153 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.01 17:33:00 | 000,006,805 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.01 17:33:00 | 000,001,178 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.01 17:33:00 | 000,001,105 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
[2009.04.07 14:59:38 | 000,000,872 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\Yahooober2061859.gif
[2009.12.24 00:24:30 | 000,000,205 | ---- | M] () -- F:\Programme\mozilla firefox\searchplugins\Yahooober2061859.src
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.google.com/
CHR - homepage: hxxp://www.google.com/
CHR - Extension: avast! WebRep = F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1474_0\
 
O1 HOSTS File: ([2013.02.23 21:25:19 | 000,000,027 | ---- | M]) - F:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - F:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [Adobe ARM] F:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avast] F:\Programme\AVAST Software\Avast\avastUI.exe (AVAST Software)
O4 - HKLM..\Run: [NeroFilterCheck] F:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NvCplDaemon] F:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] F:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] F:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [REGSHAVE] F:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)
O4 - HKLM..\Run: [SDTray] F:\Programme\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.)
O4 - HKLM..\Run: [SunJavaUpdateSched] F:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe ()
O4 - HKU\S-1-5-21-1275210071-1078081533-725345543-500..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] F:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\S-1-5-21-1275210071-1078081533-725345543-500..\Run: [Device Detection] F:\Programme\Lidl_Fotos\dd.exe ()
O4 - HKU\S-1-5-21-1275210071-1078081533-725345543-500..\Run: [NVIDIA nTune] F:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe (NVIDIA)
O4 - Startup: F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = F:\Programme\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1275210071-1078081533-725345543-500\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-1275210071-1078081533-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-1275210071-1078081533-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-1275210071-1078081533-725345543-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: add to &BOM - F:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta ()
O8 - Extra context menu item: Fotoabzug online bestellen ! - hxxp://fotoup.info/ie2wk.php?hid=piqs File not found
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O9 - Extra Button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6.5\ICQ.exe (ICQ, LLC.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0F4C0848-F29B-40EB-ACCB-F9273E7E2C97}: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - F:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - F:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - F:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - F:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - F:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (F:\WINDOWS\system32\userinit.exe) - F:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.24 17:06:15 | 000,000,000 | ---D | C] -- F:\Programme\ESET
[2013.02.24 17:06:10 | 002,347,384 | ---- | C] (ESET) -- F:\Dokumente und Einstellungen\Administrator\Desktop\esetsmartinstaller_enu.exe
[2013.02.24 16:37:31 | 000,000,000 | ---D | C] -- F:\_OTL
[2013.02.24 16:35:32 | 000,000,000 | -HSD | C] -- F:\RECYCLER
[2013.02.23 21:17:00 | 000,000,000 | ---D | C] -- F:\ComboFix
[2013.02.23 21:14:28 | 005,034,320 | R--- | C] (Swearware) -- F:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2013.02.23 15:32:59 | 000,000,000 | RHSD | C] -- F:\cmdcons
[2013.02.23 15:27:20 | 000,518,144 | ---- | C] (SteelWerX) -- F:\WINDOWS\SWREG.exe
[2013.02.23 15:27:20 | 000,406,528 | ---- | C] (SteelWerX) -- F:\WINDOWS\SWSC.exe
[2013.02.23 15:27:20 | 000,212,480 | ---- | C] (SteelWerX) -- F:\WINDOWS\SWXCACLS.exe
[2013.02.23 15:27:20 | 000,060,416 | ---- | C] (NirSoft) -- F:\WINDOWS\NIRCMD.exe
[2013.02.23 15:26:59 | 000,000,000 | ---D | C] -- F:\Qoobox
[2013.02.23 15:26:49 | 000,000,000 | ---D | C] -- F:\WINDOWS\erdnt
[2013.02.23 15:15:32 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Sun
[2013.02.22 23:39:37 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2013.02.22 23:39:36 | 000,000,000 | ---D | C] -- F:\Programme\Gemeinsame Dateien\Java
[2013.02.22 22:06:48 | 000,602,112 | ---- | C] (OldTimer Tools) -- F:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2013.02.22 20:26:35 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\Administrator\Eigene Dateien\ProcAlyzer Dumps
[2013.02.22 20:23:23 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- F:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis204.exe
[2013.02.22 20:20:14 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2013.02.22 20:00:27 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy 2
[2013.02.22 20:00:18 | 000,015,224 | ---- | C] (Safer Networking Limited) -- F:\WINDOWS\System32\sdnclean.exe
[2013.02.22 20:00:08 | 000,000,000 | ---D | C] -- F:\Programme\Spybot - Search & Destroy 2
[2013.02.22 19:48:18 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2013.02.22 19:47:46 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.02.22 19:47:45 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.02.22 19:47:43 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- F:\WINDOWS\System32\drivers\mbam.sys
[2013.02.22 19:47:43 | 000,000,000 | ---D | C] -- F:\Programme\Malwarebytes' Anti-Malware
[2013.02.22 19:40:40 | 000,361,032 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswSP.sys
[2013.02.22 19:40:40 | 000,021,256 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswFsBlk.sys
[2013.02.22 19:40:40 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\avast! Free Antivirus
[2013.02.22 19:40:39 | 000,035,928 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswRdr.sys
[2013.02.22 19:40:38 | 000,738,504 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswSnx.sys
[2013.02.22 19:40:38 | 000,054,232 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswTdi.sys
[2013.02.22 19:40:37 | 000,097,608 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswmon2.sys
[2013.02.22 19:40:37 | 000,089,752 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aswmon.sys
[2013.02.22 19:40:36 | 000,025,256 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\drivers\aavmker4.sys
[2013.02.22 19:39:56 | 000,041,224 | ---- | C] (AVAST Software) -- F:\WINDOWS\avastSS.scr
[2013.02.22 19:39:55 | 000,227,648 | ---- | C] (AVAST Software) -- F:\WINDOWS\System32\aswBoot.exe
[2013.02.22 19:39:33 | 000,000,000 | ---D | C] -- F:\Programme\AVAST Software
[2013.02.22 19:39:33 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software
[2013.02.22 19:27:53 | 000,000,000 | ---D | C] -- F:\WINDOWS\CSC
[2013.02.20 09:55:14 | 000,000,000 | ---D | C] -- F:\Programme\Mozilla Firefox
[2013.02.15 09:27:18 | 000,000,000 | ---D | C] -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\McAfee Security Scan Plus
[2013.01.30 20:33:51 | 000,000,000 | ---D | C] -- F:\Programme\Gemeinsame Dateien\Adobe
[2013.01.30 20:33:51 | 000,000,000 | ---D | C] -- F:\Programme\Adobe
[2 F:\Dokumente und Einstellungen\Administrator\Desktop\*.tmp files -> F:\Dokumente und Einstellungen\Administrator\Desktop\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.24 18:25:00 | 000,000,884 | ---- | M] () -- F:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.02.24 17:05:21 | 002,347,384 | ---- | M] (ESET) -- F:\Dokumente und Einstellungen\Administrator\Desktop\esetsmartinstaller_enu.exe
[2013.02.24 16:46:41 | 000,000,612 | ---- | M] () -- F:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job
[2013.02.24 16:46:41 | 000,000,322 | -H-- | M] () -- F:\WINDOWS\tasks\avast! Emergency Update.job
[2013.02.24 16:45:54 | 000,002,048 | --S- | M] () -- F:\WINDOWS\bootstat.dat
[2013.02.23 21:25:19 | 000,000,027 | ---- | M] () -- F:\WINDOWS\System32\drivers\etc\hosts
[2013.02.23 21:15:01 | 005,034,320 | R--- | M] (Swearware) -- F:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[2013.02.23 15:33:03 | 000,000,354 | RHS- | M] () -- F:\boot.ini
[2013.02.23 15:16:56 | 000,587,671 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner0.exe
[2013.02.22 22:41:54 | 000,000,000 | ---- | M] () -- F:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2013.02.22 22:24:18 | 000,419,978 | ---- | M] () -- F:\WINDOWS\System32\perfh007.dat
[2013.02.22 22:24:18 | 000,404,548 | ---- | M] () -- F:\WINDOWS\System32\perfh009.dat
[2013.02.22 22:24:18 | 000,076,530 | ---- | M] () -- F:\WINDOWS\System32\perfc007.dat
[2013.02.22 22:24:18 | 000,063,576 | ---- | M] () -- F:\WINDOWS\System32\perfc009.dat
[2013.02.22 22:20:32 | 000,000,608 | ---- | M] () -- F:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job
[2013.02.22 22:20:32 | 000,000,438 | ---- | M] () -- F:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job
[2013.02.22 22:06:50 | 000,602,112 | ---- | M] (OldTimer Tools) -- F:\Dokumente und Einstellungen\Administrator\Desktop\OTL.exe
[2013.02.22 21:48:34 | 000,000,243 | ---- | M] () -- F:\Boot.bak
[2013.02.22 20:23:23 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- F:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis204.exe
[2013.02.22 20:00:28 | 000,001,800 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk
[2013.02.22 19:47:47 | 000,000,756 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.22 19:42:35 | 000,000,664 | ---- | M] () -- F:\WINDOWS\System32\d3d9caps.dat
[2013.02.22 19:40:41 | 000,001,653 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk
[2013.02.22 19:40:38 | 000,003,001 | ---- | M] () -- F:\WINDOWS\System32\CONFIG.NT
[2013.02.15 09:27:18 | 000,001,737 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\McAfee Security Scan Plus.lnk
[2013.02.15 09:27:18 | 000,001,731 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk
[2013.02.15 09:24:30 | 000,002,278 | ---- | M] () -- F:\WINDOWS\System32\wpa.dbl
[2013.01.30 20:34:22 | 000,001,714 | ---- | M] () -- F:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk
[2 F:\Dokumente und Einstellungen\Administrator\Desktop\*.tmp files -> F:\Dokumente und Einstellungen\Administrator\Desktop\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.23 15:33:03 | 000,000,243 | ---- | C] () -- F:\Boot.bak
[2013.02.23 15:33:00 | 000,262,448 | RHS- | C] () -- F:\cmldr
[2013.02.23 15:27:20 | 000,256,000 | ---- | C] () -- F:\WINDOWS\PEV.exe
[2013.02.23 15:27:20 | 000,208,896 | ---- | C] () -- F:\WINDOWS\MBR.exe
[2013.02.23 15:27:20 | 000,098,816 | ---- | C] () -- F:\WINDOWS\sed.exe
[2013.02.23 15:27:20 | 000,080,412 | ---- | C] () -- F:\WINDOWS\grep.exe
[2013.02.23 15:27:20 | 000,068,096 | ---- | C] () -- F:\WINDOWS\zip.exe
[2013.02.23 15:16:56 | 000,587,671 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Desktop\adwcleaner0.exe
[2013.02.22 22:41:54 | 000,000,000 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\defogger_reenable
[2013.02.22 20:00:46 | 000,000,608 | ---- | C] () -- F:\WINDOWS\tasks\Refresh immunization (Spybot - Search & Destroy).job
[2013.02.22 20:00:46 | 000,000,438 | ---- | C] () -- F:\WINDOWS\tasks\Scan the system (Spybot - Search & Destroy).job
[2013.02.22 20:00:45 | 000,000,612 | ---- | C] () -- F:\WINDOWS\tasks\Check for updates (Spybot - Search & Destroy).job
[2013.02.22 20:00:28 | 000,001,806 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot-S&D Start Center.lnk
[2013.02.22 20:00:28 | 000,001,800 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\Spybot-S&D Start Center.lnk
[2013.02.22 19:47:47 | 000,000,756 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.02.22 19:42:35 | 000,000,664 | ---- | C] () -- F:\WINDOWS\System32\d3d9caps.dat
[2013.02.22 19:40:41 | 000,001,653 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\avast! Free Antivirus.lnk
[2013.02.22 19:40:38 | 000,000,322 | -H-- | C] () -- F:\WINDOWS\tasks\avast! Emergency Update.job
[2013.02.15 09:27:18 | 000,001,737 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\McAfee Security Scan Plus.lnk
[2013.01.30 20:34:22 | 000,001,804 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader XI.lnk
[2013.01.30 20:34:22 | 000,001,714 | ---- | C] () -- F:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk
[2009.02.22 14:30:45 | 000,000,336 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\IfolorJavaUpload.data
[2009.01.18 00:00:44 | 000,056,320 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.07.06 15:41:32 | 001,003,608 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mdbu.bin
[2008.07.03 20:35:37 | 000,000,113 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\default.pls
[2008.06.15 19:46:29 | 000,148,263 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mdb.bin
[2008.06.15 16:44:31 | 000,000,146 | ---- | C] () -- F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2008.06.15 16:41:02 | 000,000,227 | RHS- | M] () -- F:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2004.09.29 19:47:53 | 001,483,776 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2004.11.11 13:00:00 | 000,472,064 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2004.11.11 13:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.05.27 21:38:09 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Awem
[2010.07.17 18:40:14 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BOM
[2011.05.27 21:04:18 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Dropbox
[2008.06.16 18:58:53 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
[2009.02.01 19:13:21 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ifolor
[2011.06.08 14:19:04 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Notepad++
[2008.09.13 20:19:34 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Panasonic
[2011.06.12 11:51:38 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PhotoScape
[2010.07.17 18:38:15 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PreisHai4
[2009.02.07 12:51:13 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Snapfish
[2009.12.24 00:25:32 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TimeQuest
[2010.09.08 11:20:29 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Uniblue
[2012.07.03 09:25:07 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wtxpcom
[2012.10.14 18:52:08 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AlawarWrapper
[2013.02.22 19:39:33 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVAST Software
[2009.04.03 21:32:29 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AWEM
[2013.02.23 15:19:59 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2009.02.01 20:34:17 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ifolor
[2009.02.07 13:49:13 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LIDL Fotoservice
[2009.10.17 18:02:13 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lidl_Fotos
[2009.12.24 00:24:30 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Oberon Media
[2010.09.08 14:39:08 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
[2009.02.01 13:26:08 | 000,000,000 | ---D | M] -- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
 
========== Purity Check ==========
 
 

< End of report >
         
--- --- ---


Checkupt txt

Code:
ATTFilter
 Results of screen317's Security Check version 0.99.59  
 Windows XP Service Pack 2 x86   
 Out of date service pack!! 
 Internet Explorer 6 Out of date! 
``````````````Antivirus/Firewall Check:`````````````` 
Please wait while WMIC compiles updated MOF files.d 
i 
s 
p 
l 
a 
y 
N 
a 
m 
e 
ECHO ist ausgeschaltet (OFF).
a 
v 
a 
s 
t 
! 
ECHO ist ausgeschaltet (OFF).
A 
n 
t 
i 
v 
i 
r 
u 
s 
ECHO ist ausgeschaltet (OFF).
 Antivirus up to date! (On Access scanning disabled!) 
`````````Anti-malware/Other Utilities Check:````````` 
 Spybot - Search & Destroy 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 Java 7 Update 15  
 Java version out of Date! 
 Adobe Flash Player 9 Flash Player out of Date! 
 Adobe Flash Player 	11.6.602.168  
 Adobe Reader XI  
 Mozilla Firefox (19.0) 
````````Process Check: objlist.exe by Laurent````````  
 Spybot Teatimer.exe is disabled! 
 AVAST Software Avast AvastSvc.exe  
 AVAST Software Avast avastUI.exe  
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive F::  
````````````````````End of Log``````````````````````
         

Alt 24.02.2013, 18:57   #10
aharonov
/// TB-Ausbilder
 
pdf Exploit - Telekom Rechnung - Standard

pdf Exploit - Telekom Rechnung



Hallo,

gut, da scheint nichts mehr vorhanden zu sein.
Aber das Service Pack 2 ist keine Option, da muss das SP3 drauf. Auch der Internet Explorer sollte immer in der aktuellsten Version vorliegen, auch wenn er nicht zum Surfen benutzt wird.
Bring das noch in Ordnung und danach räumen wir noch alles auf.


Schritt 1

Downloade und installiere das Service Pack 3 für Windows XP.



Schritt 2

Lade den Internet Explorer 8 herunter und installiere ihn.



Schritt 3
  • Gehe zu Start --> Systemsteuerung und öffne Software.
  • Suche und deinstalliere dort folgenden Eintrag:
    • Adobe Flash Player 9 ActiveX
  • Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.



Schritt 4

Starte defogger und drücke den Button Re-enable.



Schritt 5

Bitte deaktiviere jetzt temporär das Antiviren-Programm, evtl. vorhandenes Skript-Blocking und Antimalware-Programme.

Drücke bitte die + R Taste, kopiere folgenden Text in das Ausführen Fenster
Code:
ATTFilter
Combofix /Uninstall
         
und drücke OK.
Du kannst die eben deaktivierten Programme nun wieder einschalten.



Schritt 6

Den ESET Online Scanner kannst du behalten, um ab und zu für eine Zweitmeinung dein System damit zu scannen.
Falls du ESET aber deinstallieren möchtest, dann:

Drücke bitte die + R Taste, kopiere folgenden Text in das Ausführen Fenster
Code:
ATTFilter
"%ProgramFiles%\Eset\Eset Online Scanner\OnlineScannerUninstaller.exe"
         
und drücke OK.



Schritt 7

Downloade dir bitte delfix auf deinen Desktop.
  • Schliesse alle offenen Programme.
  • Starte die delfix.exe mit einem Doppelklick.
  • Klicke auf Start.
  • DelFix entfernt alle von uns verwendeten Programme und löscht sich anschliessend selbst.
    Sollte denoch etwas übrig bleiben, kannst du es manuell löschen.




>> OK <<
Wir sind durch, deine Logs sehen für mich im Moment sauber aus.

Ich habe dir nachfolgend ein paar Hinweise und Tipps zusammengestellt, die dazu beitragen sollen, dass du in Zukunft unsere Hilfe nicht mehr brauchen wirst.

Bitte gib mir danach noch eine kurze Rückmeldung, wenn auch von deiner Seite keine Probleme oder Fragen mehr offen sind, damit ich dieses Thema als erledigt betrachten kann.




Epilog: Tipps, Dos & Don'ts

Aktualität von System und Software

Das Betriebsystem Windows muss zwingend immer auf dem neusten Stand sein. Stelle sicher, dass die automatischen Updates aktiviert sind:
  • Windows XP: Start --> Systemsteuerung --> Doppelklick auf Automatische Updates
  • Windows Vista / 7: Start --> Systemsteuerung --> System und Sicherheit --> Automatische Updates aktivieren oder deaktivieren

Auch die installierte Software sollte immer in der aktuellsten Version vorliegen.
Speziell gilt das für den Browser, Java, Flash-Player und PDF-Reader, denn bekannte Sicherheitslücken in deren alten Versionen werden dazu ausgenutzt, um beim blossen Besuch einer präparierten Website per Drive-by Download Malware zu installieren. Das kann sogar auf normalerweise legitimen Websites geschehen, wenn es einem Angreifer gelungen ist, seinen Code in die Seite einzuschleusen, und ist deshalb relativ unberechenbar.
  • Mit diesem kleinen Plugin-Check kannst du regelmässig diese Komponenten auf deren Aktualität überprüfen.
  • Achte auch darauf, dass alte, nicht mehr verwendete Versionen deinstalliert sind.
  • Optional: Das Programm Secunia Personal Software Inspector kann dich dabei unterstützen, stets die aktuellen Versionen sämtlicher installierter Software zu nutzen.

Sicherheits-Software

Eine Bemerkung vorneweg: Jede Softwarelösung hat ihre Schwächen. Die gesamte Verantwortung für die Sicherheit auf Software zu übertragen und einen Rundum-Schutz zu erwarten, wäre eine gefährliche Illusion. Bei unbedachtem oder bewusst risikoreichem Verhalten wird auch das beste Programm früher oder später seinen Dienst versagen (z.B. ein Virenscanner, der eine verseuchte Datei nicht erkennt).
Trotzdem ist entsprechende Software natürlich wichtig und hilft dir in Kombination mit einem gut gewarteten (up-to-date) System und durchdachtem Verhalten, deinen Rechner sauber zu halten.
  • Nutze einen Virenscanner mit Hintergrundwächter mit stets aktueller Datenbank. Welches Produkt gewählt wird, spielt keine so entscheidende Rolle. Es gibt kommerzielle Versionen, aber ein kostenloser Scanner mit den Grundfunktionen wie beispielsweise Avast! Free Antivirus sollte ausreichen. Betreibe aber keinesfalls zwei Wächter parallel, die würden sich gegenseitig behindern.
  • Aktiviere eine Firewall. Die in Windows integrierte genügt im Normalfall völlig.
  • Zusätzlich zum Virenscanner kannst du dein System regelmässig mit einem On-Demand Antimalwareprogramm scannen. Empfehlenswert ist die Free-Version von Malwarebytes Anti-Malware. Vor jedem Scan die Datenbank updaten.
  • Optional: Das Programm Sandboxie führt Anwendungen in einer isolierten Umgebung ("Sandkasten") aus, so dass keine Änderungen am System vorgenommen werden können. Wenn du deinen Browser darin startest, vermindert sich die Chance, dass beim Surfen eingefangene Malware sich dauerhaft im System festsetzen kann.
  • Optional: Das Addon WOT (web of trust) warnt dich vor einer als schädlich gemeldeten Website, bevor sie geladen wird. Für verschiedene Browser erhältlich.

Es liegt in der Natur der Sache, dass die am weitesten verbreitete Anwendungs-Software auch am häufigsten von Malware-Autoren attackiert wird. Es kann daher bereits einen kleinen Sicherheitsgewinn darstellen, wenn man alternative Software (z.B. einen alternativen PDF Reader) benutzt.
Anstelle des Internet Explorers kann man beispielsweise den Mozilla Firefox einsetzen, für welchen es zwei nützliche Addons zur Empfehlung gibt:
  • NoScript verhindert standardmässig das Ausführen von aktiven Inhalten (Java, JavaScript, Flash, ..) für sämtliche Websites. Du kannst selber nach dem Prinzip einer Whitelist festlegen, welchen Seiten du vertrauen und Scripts erlauben willst, auch temporär.
  • Adblock Plus blockt die meisten Werbebanner weg. Solche Banner können nebst ihrer störenden Erscheinung auch als Infektionsherde fungieren.

(Un-)Sicheres Verhalten im Internet

Nebst unbemerkten Drive-by Installationen wird Malware aber auch oft mehr oder weniger aktiv vom Benutzer selbst installiert.

Der Besuch zwielichtiger Websites kann bereits Risiken bergen. Und Downloads aus dubiosen Quellen sind immer russisches Roulette. Auch wenn der Virenscanner im Moment darin keine Bedrohung erkennt, muss das nichts bedeuten.
  • Illegale Cracks, Keygens und Serials sind ein ausgesprochen einfacher (und ein beliebter) Weg, um Malware zu verbreiten.
  • Bei Dateien aus Peer-to-Peer- und Filesharingprogrammen oder von Filehostern kannst du dir nie sicher sein, ob auch wirklich drin ist, was drauf steht.

Oft wird auch versucht, den Benutzer mit mehr oder weniger trickreichen Methoden dazu zu bringen, eine für ihn verhängnisvolle Handlung selbst auszuführen (Überbegriff Social Engineering).
  • Surfe mit Vorsicht und lass dich nicht von irgendwie interessant erscheinenden Elementen zu einem vorschnellen Klick verleiten. Lass dich nicht von Popups täuschen, die aussehen wie System- oder Virenmeldungen.
  • Sei skeptisch bei unerwarteten E-Mails, insbesondere wenn sie Anhänge enthalten. Auch wenn sie auf den ersten Blick authentisch wirken, persönliche Daten von dir enthalten oder vermeintlich von einem bekannten Absender stammen: Lieber nochmals in Ruhe überdenken oder nachfragen, anstatt einfach mal Links oder ausführbare Anhänge öffnen oder irgendwo deine Daten eingeben.
  • Auch in sozialen Netzwerken oder über Instant Messaging Systeme können schädliche Links oder Dateien die Runde machen. Erhältst du von einem deiner Freunde eine Nachricht, die merkwürdig ist oder so sensationell interessant oder skandalös tönt, dass man einfach draufklicken muss, dann hat bei ihm/ihr wahrscheinlich Neugier über Verstand gesiegt und du solltest nicht denselben Fehler machen.
  • Lass die Dateiendungen anzeigen, so dass du dich nicht täuschen lässt, wenn eine ausführbare Datei über ein doppelte Dateiendung kaschiert wird, z.B. Nacktfoto.jpg.exe.

Nervige Adware (Werbung) und unnötige Toolbars werden auch meist durch den Benutzer selbst mitinstalliert.
  • Lade Software in erster Priorität immer direkt vom Hersteller herunter. Viele Softwareportale (z.B. Softonic) packen noch unnützes Zeug mit in die Installation. Alternativ dazu wähle ein sauberes Portal wie Filepony oder heise.
  • Wähle beim Installieren von Software immer die benutzerdefinierte Option und entferne den Haken bei allen optional angebotenen Toolbars oder sonstigen fürs Programm irrelevanten Ergänzungen.

Allgemeine Hinweise

Abschliessend noch ein paar grundsätzliche Bemerkungen:
  • Dein Benutzerkonto für den alltäglichen Gebrauch sollte nicht über Administratorenrechte verfügen. Nutze ein Konto mit eingeschränkten Rechten (Windows XP) bzw. aktiviere die Benutzerkontensteuerung (UAC) auf der höchsten Stufe (Windows Vista / 7).
  • Erstelle regelmässig Backups deiner Daten und Dokumente auf externen Datenträgern, bei wichtigen Dateien mindestens zweifach. Nicht nur ein Malwarebefall kann schmerzhaften Datenverlust nach sich ziehen sondern auch ein gewöhnlicher Festplattendefekt.
  • Die Autorun/Autoplay-Funktion stellt ein Risiko dar, denn sie ermöglicht es, dass beispielsweise beim Einstecken eines entsprechend infizierten USB-Sticks der Befall auf den Rechner überspringt. Überlege dir, ob du diese Funktion nicht besser deaktivieren möchtest.
  • Wähle deine Passwörter gemäss den gängigen Regeln, um besser gegen Brute-Force- und Wörterbuchattacken gewappnet zu sein. Benutze jedes deiner Passwörter nur einmal und ändere sie regelmässig.
  • Der Nutzen von Registry-Cleanern zur Performancesteigerung ist umstritten. Auf jeden Fall lässt sich damit grosser Schaden anrichten, wenn man nicht weiss, was man tut. Wir empfehlen deshalb, die Finger von der Registry zu lassen. Um von Zeit zu Zeit die temporären Dateien zu löschen, genügt TFC.

Wenn du möchtest, kannst du das Forum mit einer kleinen Spende unterstützen.
Es bleibt mir nur noch, dir unbeschwertes und sicheres Surfen zu wünschen und dass wir uns hier so bald nicht wiedersehen.
__________________
cheers,
Leo

Alt 28.02.2013, 19:32   #11
aharonov
/// TB-Ausbilder
 
pdf Exploit - Telekom Rechnung - Standard

pdf Exploit - Telekom Rechnung



Dieses Thema scheint erledigt und wird aus meinen Abos gelöscht. Ich bekomme somit keine Benachrichtigung mehr über neue Antworten.
Solltest du das Thema erneut brauchen, schicke mir bitte eine PM und wir machen hier weiter.

Jeder andere bitte diese Anleitung lesen und einen eigenen Thread erstellen.
__________________
cheers,
Leo

Antwort

Themen zu pdf Exploit - Telekom Rechnung
avast, entfernen, erwischt, exploit, gen, hallo zusammen, hijack, hijack this, laptop, logfile, meldungen, online, pdf, rechner, rechnung, sp2, spybot, system, telekom, telekom rechnung, this, trojaner, win, win xp, öffnen



Ähnliche Themen: pdf Exploit - Telekom Rechnung


  1. Fake Telekom Rechnung geöffnet
    Log-Analyse und Auswertung - 01.12.2014 (29)
  2. Telekom Rechnung
    Plagegeister aller Art und deren Bekämpfung - 28.11.2014 (5)
  3. Summerblast-Problem als Telekom Rechnung getarnt
    Log-Analyse und Auswertung - 25.11.2014 (24)
  4. Telekom Rechnung geöffnet..
    Plagegeister aller Art und deren Bekämpfung - 24.11.2014 (5)
  5. Telekom Rechnung auf Firmen-PC geöffnet
    Plagegeister aller Art und deren Bekämpfung - 24.11.2014 (1)
  6. Telekom.Rechnung.Virus
    Plagegeister aller Art und deren Bekämpfung - 18.11.2014 (9)
  7. Telekom Rechnung geöffnet Samsung Galaxy S4
    Smartphone, Tablet & Handy Security - 14.11.2014 (4)
  8. Telekom Rechnung November 2014
    Log-Analyse und Auswertung - 14.11.2014 (5)
  9. Telekom Fake Rechnung geöffnet!
    Log-Analyse und Auswertung - 27.07.2014 (19)
  10. Telekom-Rechnung-Eset
    Plagegeister aller Art und deren Bekämpfung - 03.07.2014 (5)
  11. Email von Telekom mit Rechnung.pdf.exe geöffnet
    Plagegeister aller Art und deren Bekämpfung - 09.06.2014 (4)
  12. Win7: Telekom Rechnung Trojaner?
    Log-Analyse und Auswertung - 28.05.2014 (3)
  13. Telekom Rechnung PDF von ilfotografo
    Log-Analyse und Auswertung - 28.05.2014 (3)
  14. Windows 7 (64 Bit): Trojaner aus Telekom-Rechnung
    Log-Analyse und Auswertung - 27.05.2014 (4)
  15. telekom.de Spam:Rechnung
    Diskussionsforum - 28.11.2013 (0)
  16. Telekom Rechnung email erhalten
    Plagegeister aller Art und deren Bekämpfung - 25.02.2013 (11)
  17. Telekom-Rechnung mit Trojaner
    Nachrichten - 24.04.2012 (0)

Zum Thema pdf Exploit - Telekom Rechnung - Hallo zusammen, leider hat es nun anscheinend den Rechner meiner Frau erwischt (Win XP SP2). Sie hat gestern eien "komische" (O-Ton) Rechnung bekommen und beim öffnen passierte nichts. Avira schrie - pdf Exploit - Telekom Rechnung...
Archiv
Du betrachtest: pdf Exploit - Telekom Rechnung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.