Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.04.2013, 18:14   #1
Neutron_1
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Liebes Trojaner-Board Team,

glücklicherweise ist dies mein erster Besuch eures Forums.

Seit einigen Wochen meldet AntiVir eine Speicherveränderung, jedoch keinen Fund von Malware oder Ähnlichem. Bei Scans im abgesicherten Modus und mit der Avira Rescue-CD bleibt diese Meldung aus. Auch Malwarebytes Anti-Malware findet nichts, dennoch bin ich etwas verunsichert.

Ältere Logfiles als die hier geposteten habe ich leider nicht, da ich diese heute aus Versehen mit dem CCleaner gelöscht habe. Allerdings habe ich auf diesem System bislang noch keinen Schädling gefunden.

Im Folgenden habe ich die ersten Schritte für Hilfesuchende abgearbeitet, also nach der Ausführung von defogger mit OTL und GMER Scans durchgeführt und entsprechend die Logfiles hier gepostet. Die Logfiles von AntiVir sind aufgrund ihrer Größe angehängt. Namen in allen Logfiles habe ich durch *-chen ersetzt. Ich hoffe das war richtig so.


Besten Dank im Vorraus!



Malwarebytes:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.04.04.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
**** :: ****-LAPTOP [Administrator]

04.04.2013 13:46:43
mbam-log-2013-04-04 (13-46-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 250498
Laufzeit: 1 Stunde(n), 21 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

OTL:

Code:
ATTFilter
OTL logfile created on: 04.04.2013 15:21:39 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\****\Desktop\Proggis
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1022,11 Mb Total Physical Memory | 706,91 Mb Available Physical Memory | 69,16% Memory free
2,40 Gb Paging File | 2,05 Gb Available in Paging File | 85,31% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,44 Gb Total Space | 54,51 Gb Free Space | 73,22% Space Free | Partition Type: NTFS
 
Computer Name: ****-LAPTOP | User Name: **** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.04.04 11:39:42 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\****\Desktop\Proggis\OTL.exe
PRC - [2013.04.04 10:32:50 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2013.04.04 10:32:21 | 000,079,584 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2013.04.04 10:32:17 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.04.04 10:32:16 | 000,345,312 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.01.09 18:36:06 | 000,795,208 | ---- | M] (pdfforge GbR) -- C:\Programme\PDF Architect\ConversionService.exe
PRC - [2013.01.09 18:34:26 | 001,324,104 | ---- | M] (pdfforge GbR) -- C:\Programme\PDF Architect\HelperService.exe
PRC - [2010.09.27 12:58:24 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
PRC - [2009.04.21 13:59:02 | 002,869,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) -- C:\WINDOWS\system32\hasplms.exe
PRC - [2008.04.14 14:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.04.04 10:32:54 | 000,397,704 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2010.09.27 13:03:08 | 000,201,512 | ---- | M] () -- C:\WINDOWS\system32\vpnapi.dll
MOD - [2007.11.17 03:03:00 | 000,466,944 | ---- | M] () -- C:\WINDOWS\system32\nvshell.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Programme\Carl Zeiss\MTB 2011 -- (MTBService_2.0.0.13)
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - File not found [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Carl Zeiss\CZCanSrv.exe -- (CZCanSrv)
SRV - [2013.04.04 10:32:50 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.04.04 10:32:17 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013.03.13 18:18:19 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.03.08 11:53:33 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.01.09 18:36:06 | 000,795,208 | ---- | M] (pdfforge GbR) [Auto | Running] -- C:\Programme\PDF Architect\ConversionService.exe -- (PDF Architect Service)
SRV - [2013.01.09 18:34:26 | 001,324,104 | ---- | M] (pdfforge GbR) [Auto | Running] -- C:\Programme\PDF Architect\HelperService.exe -- (PDF Architect Helper Service)
SRV - [2011.07.20 05:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2010.09.27 12:58:24 | 001,528,616 | ---- | M] (Cisco Systems, Inc.) [Auto | Running] -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe -- (CVPND)
SRV - [2009.04.21 13:59:02 | 002,869,760 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Auto | Running] -- C:\WINDOWS\system32\hasplms.exe -- (hasplms)
SRV - [2006.10.26 14:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.03.09 21:31:02 | 000,065,795 | ---- | M] (HP) [On_Demand | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\oz776.sys -- (guardian2)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\****\LOKALE~1\Temp\awlyqkoc.sys -- (awlyqkoc)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\Apfiltr.sys -- (ApfiltrService)
DRV - [2013.04.04 10:33:10 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2013.04.04 10:33:10 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2013.04.04 10:33:10 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2013.04.04 10:33:10 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.09.27 12:56:00 | 000,308,859 | ---- | M] (Cisco Systems, Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys -- (CVPNDRVA)
DRV - [2010.02.11 14:02:15 | 000,226,880 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tcpip6.sys -- (Tcpip6)
DRV - [2009.10.26 05:47:30 | 004,221,952 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NETw5x32.sys -- (NETw5x32)
DRV - [2009.07.09 15:18:56 | 000,587,776 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (hardlock)
DRV - [2009.01.16 13:42:28 | 000,352,256 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\aksfridge.sys -- (aksfridge)
DRV - [2008.11.16 19:39:44 | 000,131,984 | ---- | M] (Deterministic Networks, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\dne2000.sys -- (DNE)
DRV - [2007.11.14 20:05:16 | 000,394,952 | ---- | M] (Zone Labs, LLC) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\vsdatant.sys -- (vsdatant)
DRV - [2007.05.10 10:24:34 | 001,222,840 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA)
DRV - [2007.01.18 21:28:02 | 000,005,275 | ---- | M] (Cisco Systems, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\CVirtA.sys -- (CVirtA)
DRV - [2005.10.26 10:01:02 | 000,142,720 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://www.bing.com/search?q={searchTerms}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.bing.com/search?q={searchTerms}
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
IE - HKCU\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = hxxp://www.bing.com/search?q={searchTerms}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "about:home"
FF - prefs.js..extensions.enabledAddons: adblockpopups%40jessehakanen.net:0.7
FF - prefs.js..extensions.enabledAddons: %7B73a6fe31-595d-460b-a920-fcc0f8843232%7D:2.6.5.9
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2
FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?rls=org.mozilla:en-US:official&client=firefox-a&q="
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\FFPDFArchitectConverter@pdfarchitect.com: C:\Programme\PDF Architect\FFPDFArchitectExt [2013.02.12 16:44:56 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.03.08 11:53:34 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2012.10.07 15:53:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Extensions
[2013.03.30 18:19:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions
[2013.03.03 17:04:03 | 000,134,804 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions\adblockpopups@jessehakanen.net.xpi
[2013.03.30 18:19:32 | 000,531,916 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
[2013.02.15 13:15:54 | 000,817,280 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013.02.12 17:01:42 | 000,006,362 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\searchplugins\Google.xml
[2013.03.08 11:53:20 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.03.08 11:53:34 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.09.06 04:07:37 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (PDF Architect Helper) - {3A2D5EBA-F86D-4BD3-A177-019765996711} - C:\Programme\PDF Architect\PDFIEHelper.dll (pdfforge GbR)
O3 - HKLM\..\Toolbar: (PDF Architect Toolbar) - {25A3A431-30BB-47C8-AD6A-E1063801134F} - C:\Programme\PDF Architect\PDFIEPlugin.dll (pdfforge GbR)
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{1CE60928-8325-49A8-8B06-633E48DD2B67}\Icon3E5562ED7.ico ()
O4 - Startup: C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\****\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{00C207BB-4CD0-4CA8-B50C-43094D0E8473}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.10.07 14:26:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.04.04 13:47:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Logs
[2013.04.04 13:45:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.04.04 13:45:26 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.04.04 13:45:26 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.04.04 12:23:49 | 000,000,000 | ---D | C] -- C:\Programme\Broadcom
[2013.04.04 12:19:03 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Proggis
[2013.04.04 10:40:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Avira
[2013.04.04 10:34:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2013.04.04 10:34:09 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2013.04.04 10:34:05 | 000,135,136 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2013.04.04 10:34:05 | 000,084,744 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2013.04.04 10:34:05 | 000,037,352 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2013.04.04 10:34:04 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2013.04.04 10:34:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2013.04.04 09:55:49 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\****\Recent
[2013.03.19 18:38:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\****\Desktop\Arbeitsamt
[2013.03.08 11:53:19 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.04.04 15:19:17 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\****\defogger_reenable
[2013.04.04 15:16:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.04.04 13:54:28 | 000,001,039 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Dropbox.lnk
[2013.04.04 13:50:33 | 000,001,033 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Desktop\Dropbox.lnk
[2013.04.04 13:49:17 | 000,517,804 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.04.04 13:49:17 | 000,494,358 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.04.04 13:49:17 | 000,101,850 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.04.04 13:49:17 | 000,084,902 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.04.04 13:47:09 | 000,118,678 | ---- | M] () -- C:\WINDOWS\System32\nvModes.001
[2013.04.04 13:45:32 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.04.04 13:44:20 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2013.04.04 13:44:13 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.04.04 13:43:23 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.04.04 10:34:31 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2013.04.04 10:33:10 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2013.04.04 10:33:10 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2013.04.04 10:33:10 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2013.04.04 10:33:10 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2013.03.20 15:44:30 | 000,011,776 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.03.20 13:29:06 | 000,411,216 | ---- | M] () -- C:\Dokumente und Einstellungen\****\Eigene Dateien\Personalausweis **** Zimmermann.pdf
[2013.03.09 22:17:59 | 000,118,678 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.04.04 15:19:17 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\****\defogger_reenable
[2013.04.04 13:54:28 | 000,001,039 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Startmenü\Programme\Autostart\Dropbox.lnk
[2013.04.04 13:45:32 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.04.04 10:34:31 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2013.03.20 13:29:04 | 000,411,216 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Eigene Dateien\Personalausweis **** Zimmermann.pdf
[2013.02.12 18:32:43 | 000,008,109 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\recently-used.xbel
[2012.12.16 20:15:28 | 000,679,750 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-776561741-583907252-1177238915-1003-0.dat
[2012.12.12 15:15:23 | 000,196,318 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2012.10.27 16:49:30 | 000,011,776 | ---- | C] () -- C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.10.14 11:35:09 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.10.07 16:51:15 | 000,019,554 | ---- | C] () -- C:\WINDOWS\hpoins01.dat
[2012.10.07 16:51:15 | 000,016,606 | ---- | C] () -- C:\WINDOWS\hpomdl01.dat
[2012.10.07 15:28:39 | 000,118,678 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat
[2012.10.07 15:27:20 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2012.10.07 15:27:19 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2012.10.07 15:27:19 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2012.10.07 15:27:18 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2012.10.07 15:27:17 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2012.10.07 15:27:16 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2012.10.07 15:27:12 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2012.10.07 15:27:10 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2012.10.07 14:42:28 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2012.10.07 14:41:13 | 000,188,200 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.10.07 14:29:26 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2012.10.07 14:23:05 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
 
========== ZeroAccess Check ==========
 
[2012.11.20 21:09:33 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 14:00:00 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 14:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2013.02.17 19:13:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Carl Zeiss
[2012.12.12 14:46:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Carl Zeiss
[2013.04.04 13:55:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\Dropbox
[2013.02.12 16:43:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\OpenCandy
[2013.02.12 16:52:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\PDF Architect
[2013.02.12 16:44:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\****\Anwendungsdaten\pdfforge
 
========== Purity Check ==========
 
 

< End of report >
         

OTL Extras:

Code:
ATTFilter
OTL Extras logfile created on: 04.04.2013 15:21:39 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\****\Desktop\Proggis
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1022,11 Mb Total Physical Memory | 706,91 Mb Available Physical Memory | 69,16% Memory free
2,40 Gb Paging File | 2,05 Gb Available in Paging File | 85,31% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,44 Gb Total Space | 54,51 Gb Free Space | 73,22% Space Free | Partition Type: NTFS
 
Computer Name: ****-LAPTOP | User Name: **** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" (VideoLAN)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" (VideoLAN)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\****\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\****\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"C:\WINDOWS\Network Diagnostic\xpnetdiag.exe" = C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Disabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\WINDOWS\system32\sessmgr.exe" = C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Cisco Systems\VPN Client\vpnclient.exe" = C:\Programme\Cisco Systems\VPN Client\vpnclient.exe:*:Enabled:vpnclient -- ()
"C:\WINDOWS\system32\hasplms.exe" = C:\WINDOWS\system32\hasplms.exe:*:Enabled:HASP LLM -- (Aladdin Knowledge Systems Ltd.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{1CE60928-8325-49A8-8B06-633E48DD2B67}" = Cisco Systems VPN Client 5.0.07.0410
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}" = HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber 
"{80A07844-CA64-4DE4-AB61-D37DDBE8074F}" = PDF Architect
"{82CE6B7B-9665-4E29-8CE0-DD993484B38D}" = Intel(R) PROSet/Wireless WiFi-Software
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00B2-0407-0000-0000000FF1CE}" = Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{93FB47FB-4FDF-4131-B5FD-7A37883868E7}" = hp psc 2170 series
"{9867A917-5D17-40DE-83BA-BEA5293194B1}" = HP Foto- und Bildbearbeitung 2.0 - All-in-One
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) - Deutsch
"{B7F54262-AB66-44B3-88BF-9FC69941B643}" = Broadcom Gigabit Integrated Controller
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"ENTERPRISE" = Microsoft Office Enterprise 2007
"HP PSC 2170 Series" = HP Foto und Bildbearbeitung 2.0 - hp psc 2170 series
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Mendeley Desktop" = Mendeley Desktop 1.6
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Mozilla Firefox 19.0.2 (x86 de)" = Mozilla Firefox 19.0.2 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel PROSet Wireless
"VLC media player" = VLC media player 2.0.4
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 30.10.2012 14:27:30 | Computer Name = ****-LAPTOP | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 15.11.2012 06:12:51 | Computer Name = ****-LAPTOP | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 09.12.2012 11:58:32 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avnotify.exe, Version 13.4.0.294, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 04.02.2013 06:21:00 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 10.1.5.33, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 04.02.2013 06:21:44 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich -946333272.
 
Error - 15.02.2013 08:14:15 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.2.4780, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 15.02.2013 08:14:38 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.2.4780, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 15.02.2013 08:14:43 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.2.4780, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.02.2013 10:36:23 | Computer Name = ****-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung PDF Architect.exe, Version 1.0.52.8917, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 04.04.2013 06:29:38 | Computer Name = ****-LAPTOP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 04.04.2013 06:29:45 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 04.04.2013 06:29:45 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 04.04.2013 06:29:45 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPv6-Hilfsdienst" ist vom Dienst "Microsoft IPv6-Protokolltreiber"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 04.04.2013 06:29:45 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 04.04.2013 06:29:45 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7001
Description = Der Dienst "Einfache TCP/IP-Dienste" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:   %%31
 
Error - 04.04.2013 06:29:45 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
   AFD  avipbb  avkmgr  Fips  intelppm  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  ssmdrv  Tcpip  Tcpip6
 
Error - 04.04.2013 07:42:09 | Computer Name = ****-LAPTOP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "netman"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {BA126AE5-2166-11D1-B1D0-00805FC1270E}
 
Error - 04.04.2013 07:42:22 | Computer Name = ****-LAPTOP | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 04.04.2013 07:44:08 | Computer Name = ****-LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MTB2011 Server (2.0.0.13)" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%2
 
 
< End of report >
         

Gmer:

Code:
ATTFilter
GMER 2.1.19155 - hxxp://www.gmer.net
Rootkit scan 2013-04-04 17:19:29
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 Hitachi_HTS541080G9SA00 rev.MB4OC60R 74,53GB
Running: gmer_2.1.19155.exe; Driver: C:\DOKUME~1\****\LOKALE~1\Temp\awlyqkoc.sys


---- System - GMER 2.1 ----

SSDT                                                                                                                                  F7D11BB4                                                                                         ZwClose
SSDT                                                                                                                                  F7D11B6E                                                                                         ZwCreateKey
SSDT                                                                                                                                  F7D11BBE                                                                                         ZwCreateSection
SSDT                                                                                                                                  F7D11B64                                                                                         ZwCreateThread
SSDT                                                                                                                                  F7D11B73                                                                                         ZwDeleteKey
SSDT                                                                                                                                  F7D11B7D                                                                                         ZwDeleteValueKey
SSDT                                                                                                                                  F7D11BAF                                                                                         ZwDuplicateObject
SSDT                                                                                                                                  F7D11B82                                                                                         ZwLoadKey
SSDT                                                                                                                                  F7D11B50                                                                                         ZwOpenProcess
SSDT                                                                                                                                  F7D11B55                                                                                         ZwOpenThread
SSDT                                                                                                                                  F7D11BD7                                                                                         ZwQueryValueKey
SSDT                                                                                                                                  F7D11B8C                                                                                         ZwReplaceKey
SSDT                                                                                                                                  F7D11BC8                                                                                         ZwRequestWaitReplyPort
SSDT                                                                                                                                  F7D11B87                                                                                         ZwRestoreKey
SSDT                                                                                                                                  F7D11BC3                                                                                         ZwSetContextThread
SSDT                                                                                                                                  F7D11BCD                                                                                         ZwSetSecurityObject
SSDT                                                                                                                                  F7D11B78                                                                                         ZwSetValueKey
SSDT                                                                                                                                  F7D11BD2                                                                                         ZwSystemDebugControl
SSDT                                                                                                                                  F7D11B5F                                                                                         ZwTerminateProcess
SSDT                                                                                                                                  \WINDOWS\system32\ntkrnlpa.exe                                                                   ZwOpenKey [0x804D7FF1]
SSDT                                                                                                                                  \WINDOWS\system32\ntkrnlpa.exe[unknown section] [804D7FF1]                                       ZwOpenKey [0x804D7FF1]

INT 0x03                                                                                                                              \WINDOWS\system32\ntkrnlpa.exe[unknown section]                                                  804D7FFB

---- Kernel code sections - GMER 2.1 ----

.text                                                                                                                                 C:\WINDOWS\system32\DRIVERS\nv4_mini.sys                                                         section is writeable [0xF6C7A360, 0x30A247, 0xE8000020]
.text                                                                                                                                 C:\WINDOWS\system32\drivers\aksfridge.sys                                                        section is writeable [0xBA350000, 0x47E35, 0xE0000020]
.init                                                                                                                                 C:\WINDOWS\system32\drivers\aksfridge.sys                                                        entry point in ".init" section [0xBA3A4224]
.init                                                                                                                                 C:\WINDOWS\system32\drivers\aksfridge.sys                                                        unknown last code section [0xBA3A4000, 0x4000, 0xE20000E0]
.text                                                                                                                                 C:\WINDOWS\system32\drivers\hardlock.sys                                                         section is writeable [0xBA167400, 0x6E6E2, 0xE8000020]
.protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBA1F1820]  C:\WINDOWS\system32\drivers\hardlock.sys                                                         entry point in ".protectÿÿÿÿhardlockentry point in ".protectÿÿÿÿhardlockentry point in ".p" section [0xBA1F1820]
.protectÿÿÿÿhardlockunknown last code section [0xBA1F1600, 0x512A, 0xE0000020]                                                        C:\WINDOWS\system32\drivers\hardlock.sys                                                         unknown last code section [0xBA1F1600, 0x512A, 0xE0000020]

---- Devices - GMER 2.1 ----

Device                                                                                                                                \Driver\Disk \Device\Harddisk0\DR0                                                               aksfridge.sys

AttachedDevice                                                                                                                        \FileSystem\Fastfat \Fat                                                                         fltMgr.sys

---- Registry - GMER 2.1 ----

Reg                                                                                                                                   HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016419f06f2                      
Reg                                                                                                                                   HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016419f06f2 (not active ControlSet)  

---- EOF - GMER 2.1 ----
         

Alt 05.04.2013, 11:50   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Hallo und

Zitat:
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Warum hast du eine Professional-Edition von Windows, brauchst du das als Heimanwender?
Oder ist das rein zufällig ein Büro-/Firmen-PC bzw. ein Uni-Rechner?



Bevor wir uns an die weitere Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.



Bitte die drei Tools MBAR / aswMBR / TDSSkiller nun ausführen und die Logs in CODE-Tags posten


MBAR (Malwarebytes Anti-Rootkit)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers


aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).



TDSS-Killer

Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.
__________________

__________________

Alt 05.04.2013, 13:50   #3
Neutron_1
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Hallo cosinus,

erst einmal vielen herzlichen Dank für deine Hilfe. Der Rechner gehört mir, als Student habe ich lediglich die Möglichkeit über die Universität kostenlos, oder z.T. vergünstigt Software zu beziehen (natürlich völlig legal). Daher auch die Lizenz für Win XP Prof.

Mit den Scans bin ich durch, lediglich TDSS-killer meldet einen Verdacht. Hier die Logfiles:

MBAR:

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.01.0.1022
www.malwarebytes.org

Database version: v2013.04.05.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Corina :: ****-LAPTOP [administrator]

05.04.2013 12:39:02
mbar-log-2013-04-05 (12-39-02).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25061
Time elapsed: 32 minute(s), 46 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         

aswMBR:

Code:
ATTFilter
aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-04-05 12:40:59
-----------------------------
12:40:59.640    OS Version: Windows 5.1.2600 Service Pack 3
12:40:59.640    Number of processors: 2 586 0xE08
12:40:59.640    ComputerName: ****-LAPTOP  UserName: ****
12:41:02.437    Initialize success
12:50:56.968    AVAST engine defs: 13040500
12:51:15.578    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
12:51:15.578    Disk 0 Vendor: Hitachi_HTS541080G9SA00 MB4OC60R Size: 76319MB BusType: 3
12:51:15.828    Disk 0 MBR read successfully
12:51:15.828    Disk 0 MBR scan
12:51:15.968    Disk 0 Windows XP default MBR code
12:51:15.968    Disk 0 Partition 1 00     DE Dell Utility Dell 8.0       94 MB offset 63
12:51:16.000    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS        76222 MB offset 192780
12:51:16.015    Disk 0 scanning sectors +156296385
12:51:16.171    Disk 0 scanning C:\WINDOWS\system32\drivers
12:51:38.453    Service scanning
12:52:32.312    Modules scanning
12:52:59.015    Disk 0 trace - called modules:
12:52:59.031    ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys 
12:52:59.062    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8673aab8]
12:52:59.062    3 CLASSPNP.SYS[f7672fd7] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x86778940]
12:53:00.843    AVAST engine scan C:\WINDOWS
12:53:07.375    AVAST engine scan C:\WINDOWS\system32
13:04:27.703    AVAST engine scan C:\WINDOWS\system32\drivers
13:04:52.515    AVAST engine scan C:\Dokumente und Einstellungen\****
13:09:38.484    AVAST engine scan C:\Dokumente und Einstellungen\All Users
13:09:49.484    Scan finished successfully
13:26:55.703    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\****\Desktop\MBR.dat"
13:26:55.718    The log file has been saved successfully to "C:\Dokumente und Einstellungen\****\Desktop\aswMBR.txt"
         

TDSSKiller (hier habe ich zwei, ich vermute das letztere dürfte relevant sein)

Nr. 1:

Code:
ATTFilter
13:29:43.0953 2512  TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42
13:29:45.0218 2512  ============================================================
13:29:45.0234 2512  Current date / time: 2013/04/05 13:29:45.0218
13:29:45.0234 2512  SystemInfo:
13:29:45.0234 2512  
13:29:45.0234 2512  OS Version: 5.1.2600 ServicePack: 3.0
13:29:45.0234 2512  Product type: Workstation
13:29:45.0234 2512  ComputerName: ****-LAPTOP
13:29:45.0234 2512  UserName: ****
13:29:45.0234 2512  Windows directory: C:\WINDOWS
13:29:45.0234 2512  System windows directory: C:\WINDOWS
13:29:45.0234 2512  Processor architecture: Intel x86
13:29:45.0234 2512  Number of processors: 2
13:29:45.0234 2512  Page size: 0x1000
13:29:45.0234 2512  Boot type: Normal boot
13:29:45.0234 2512  ============================================================
13:29:49.0437 2512  Drive \Device\Harddisk0\DR0 - Size: 0x12A1F16000 (74.53 Gb), SectorSize: 0x200, Cylinders: 0x2601, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
13:29:49.0437 2512  ============================================================
13:29:49.0437 2512  \Device\Harddisk0\DR0:
13:29:49.0437 2512  MBR partitions:
13:29:49.0437 2512  \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x2F10C, BlocksNum 0x94DF3B5
13:29:49.0437 2512  ============================================================
13:29:49.0515 2512  C: <-> \Device\Harddisk0\DR0\Partition1
13:29:49.0515 2512  ============================================================
13:29:49.0515 2512  Initialize success
13:29:49.0515 2512  ============================================================
13:30:07.0328 3184  Deinitialize success
         

Nr. 2:

Code:
ATTFilter
13:30:38.0843 0236  TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42
13:30:38.0906 0236  ============================================================
13:30:38.0906 0236  Current date / time: 2013/04/05 13:30:38.0906
13:30:38.0906 0236  SystemInfo:
13:30:38.0906 0236  
13:30:38.0906 0236  OS Version: 5.1.2600 ServicePack: 3.0
13:30:38.0906 0236  Product type: Workstation
13:30:38.0906 0236  ComputerName: CORINA-LAPTOP
13:30:38.0906 0236  UserName: Corina
13:30:38.0906 0236  Windows directory: C:\WINDOWS
13:30:38.0906 0236  System windows directory: C:\WINDOWS
13:30:38.0906 0236  Processor architecture: Intel x86
13:30:38.0906 0236  Number of processors: 2
13:30:38.0906 0236  Page size: 0x1000
13:30:38.0906 0236  Boot type: Normal boot
13:30:38.0906 0236  ============================================================
13:30:41.0890 0236  Drive \Device\Harddisk0\DR0 - Size: 0x12A1F16000 (74.53 Gb), SectorSize: 0x200, Cylinders: 0x2601, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
13:30:41.0890 0236  ============================================================
13:30:41.0890 0236  \Device\Harddisk0\DR0:
13:30:41.0890 0236  MBR partitions:
13:30:41.0890 0236  \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x2F10C, BlocksNum 0x94DF3B5
13:30:41.0890 0236  ============================================================
13:30:42.0062 0236  C: <-> \Device\Harddisk0\DR0\Partition1
13:30:42.0062 0236  ============================================================
13:30:42.0062 0236  Initialize success
13:30:42.0062 0236  ============================================================
13:30:53.0203 1860  ============================================================
13:30:53.0203 1860  Scan started
13:30:53.0203 1860  Mode: Manual; SigCheck; TDLFS; 
13:30:53.0203 1860  ============================================================
13:30:54.0468 1860  ================ Scan system memory ========================
13:30:54.0484 1860  System memory - ok
13:30:54.0484 1860  ================ Scan services =============================
13:30:55.0437 1860  [ D5A6658CBFBBF9A0F8827E83C9FDE806 ] 6to4            C:\WINDOWS\System32\6to4svc.dll
13:31:02.0468 1860  6to4 - ok
13:31:02.0578 1860  Abiosdsk - ok
13:31:02.0578 1860  abp480n5 - ok
13:31:02.0812 1860  [ AC407F1A62C3A300B4F2B5A9F1D55B2C ] ACPI            C:\WINDOWS\system32\DRIVERS\ACPI.sys
13:31:03.0328 1860  ACPI - ok
13:31:03.0750 1860  [ 9E1CA3160DAFB159CA14F83B1E317F75 ] ACPIEC          C:\WINDOWS\system32\drivers\ACPIEC.sys
13:31:04.0046 1860  ACPIEC - ok
13:31:04.0375 1860  [ EA856F4A46320389D1899B2CAA7BF40F ] AdobeFlashPlayerUpdateSvc C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
13:31:04.0500 1860  AdobeFlashPlayerUpdateSvc - ok
13:31:04.0515 1860  adpu160m - ok
13:31:04.0671 1860  [ 8BED39E3C35D6A489438B8141717A557 ] aec             C:\WINDOWS\system32\drivers\aec.sys
13:31:05.0156 1860  aec - ok
13:31:05.0343 1860  [ 1E44BC1E83D8FD2305F8D452DB109CF9 ] AFD             C:\WINDOWS\System32\drivers\afd.sys
13:31:05.0484 1860  AFD - ok
13:31:05.0484 1860  Aha154x - ok
13:31:05.0484 1860  aic78u2 - ok
13:31:05.0500 1860  aic78xx - ok
13:31:05.0718 1860  [ 730E9D3BB324FB1899005AEA63C6782D ] aksfridge       C:\WINDOWS\system32\drivers\aksfridge.sys
13:31:06.0406 1860  aksfridge - ok
13:31:06.0453 1860  [ 738D80CC01D7BC7584BE917B7F544394 ] Alerter         C:\WINDOWS\system32\alrsvc.dll
13:31:06.0656 1860  Alerter - ok
13:31:06.0687 1860  [ 190CD73D4984F94D823F9444980513E5 ] ALG             C:\WINDOWS\System32\alg.exe
13:31:06.0796 1860  ALG - ok
13:31:06.0812 1860  AliIde - ok
13:31:06.0812 1860  amsint - ok
13:31:07.0250 1860  [ D9A92E6DD41C5ADC045AE485026AA40C ] AntiVirSchedulerService C:\Programme\Avira\AntiVir Desktop\sched.exe
13:31:07.0375 1860  AntiVirSchedulerService - ok
13:31:07.0453 1860  [ 66A7A38F7C439153B758548375EB9E5E ] AntiVirService  C:\Programme\Avira\AntiVir Desktop\avguard.exe
13:31:07.0562 1860  AntiVirService - ok
13:31:07.0578 1860  ApfiltrService - ok
13:31:07.0734 1860  [ D45960BE52C3C610D361977057F98C54 ] AppMgmt         C:\WINDOWS\System32\appmgmts.dll
13:31:08.0109 1860  AppMgmt - ok
13:31:08.0156 1860  [ B5B8A80875C1DEDEDA8B02765642C32F ] Arp1394         C:\WINDOWS\system32\DRIVERS\arp1394.sys
13:31:08.0562 1860  Arp1394 - ok
13:31:08.0562 1860  asc - ok
13:31:08.0578 1860  asc3350p - ok
13:31:08.0578 1860  asc3550 - ok
13:31:09.0078 1860  [ 776ACEFA0CA9DF0FAA51A5FB2F435705 ] aspnet_state    C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
13:31:09.0296 1860  aspnet_state - ok
13:31:09.0406 1860  [ B153AFFAC761E7F5FCFA822B9C4E97BC ] AsyncMac        C:\WINDOWS\system32\DRIVERS\asyncmac.sys
13:31:09.0875 1860  AsyncMac - ok
13:31:10.0062 1860  [ 9F3A2F5AA6875C72BF062C712CFA2674 ] atapi           C:\WINDOWS\system32\DRIVERS\atapi.sys
13:31:10.0359 1860  atapi - ok
13:31:10.0359 1860  Atdisk - ok
13:31:10.0468 1860  [ 9916C1225104BA14794209CFA8012159 ] Atmarpc         C:\WINDOWS\system32\DRIVERS\atmarpc.sys
13:31:10.0687 1860  Atmarpc - ok
13:31:10.0796 1860  [ 58ED0D5452DF7BE732193E7999C6B9A4 ] AudioSrv        C:\WINDOWS\System32\audiosrv.dll
13:31:11.0093 1860  AudioSrv - ok
13:31:11.0187 1860  [ D9F724AA26C010A217C97606B160ED68 ] audstub         C:\WINDOWS\system32\DRIVERS\audstub.sys
13:31:11.0625 1860  audstub - ok
13:31:11.0718 1860  [ 87425709A251386064C99B684BF96F72 ] avgntflt        C:\WINDOWS\system32\DRIVERS\avgntflt.sys
13:31:20.0687 1860  avgntflt - ok
13:31:20.0796 1860  [ D50FBA68163BC498F2C136E0E5BA8E2F ] avipbb          C:\WINDOWS\system32\DRIVERS\avipbb.sys
13:31:20.0890 1860  avipbb - ok
13:31:20.0937 1860  [ CB8741CD7B126499FED40C9B197F6AC5 ] avkmgr          C:\WINDOWS\system32\DRIVERS\avkmgr.sys
13:31:21.0015 1860  avkmgr - ok
13:31:21.0250 1860  [ C0ACD392ECE55784884CC208AAFA06CE ] b57w2k          C:\WINDOWS\system32\DRIVERS\b57xp32.sys
13:31:21.0406 1860  b57w2k - ok
13:31:21.0437 1860  [ DA1F27D85E0D1525F6621372E7B685E9 ] Beep            C:\WINDOWS\system32\drivers\Beep.sys
13:31:21.0609 1860  Beep - ok
13:31:21.0859 1860  [ D6F603772A789BB3228F310D650B8BD1 ] BITS            C:\WINDOWS\system32\qmgr.dll
13:31:22.0531 1860  BITS - ok
13:31:22.0625 1860  [ B71549F23736ADF83A571061C47777FD ] Browser         C:\WINDOWS\System32\browser.dll
13:31:22.0937 1860  Browser - ok
13:31:23.0000 1860  [ B279426E3C0C344893ED78A613A73BDE ] BthEnum         C:\WINDOWS\system32\DRIVERS\BthEnum.sys
13:31:23.0328 1860  BthEnum - ok
13:31:23.0375 1860  [ 80602B8746D3738F5886CE3D67EF06B6 ] BthPan          C:\WINDOWS\system32\DRIVERS\bthpan.sys
13:31:23.0578 1860  BthPan - ok
13:31:23.0750 1860  [ 592E1CEDBE314D0EF184DC6F46141E76 ] BTHPORT         C:\WINDOWS\system32\Drivers\BTHport.sys
13:31:23.0968 1860  BTHPORT - ok
13:31:24.0046 1860  [ 26C601EF7525E31379744ABFC6F35A1B ] BthServ         C:\WINDOWS\System32\bthserv.dll
13:31:24.0375 1860  BthServ - ok
13:31:24.0390 1860  [ 61364CD71EF63B0F038B7E9DF00F1EFA ] BTHUSB          C:\WINDOWS\system32\Drivers\BTHUSB.sys
13:31:24.0578 1860  BTHUSB - ok
13:31:24.0625 1860  [ 90A673FC8E12A79AFBED2576F6A7AAF9 ] cbidf2k         C:\WINDOWS\system32\drivers\cbidf2k.sys
13:31:24.0765 1860  cbidf2k - ok
13:31:24.0781 1860  cd20xrnt - ok
13:31:24.0812 1860  [ C1B486A7658353D33A10CC15211A873B ] Cdaudio         C:\WINDOWS\system32\drivers\Cdaudio.sys
13:31:24.0984 1860  Cdaudio - ok
13:31:25.0046 1860  [ C885B02847F5D2FD45A24E219ED93B32 ] Cdfs            C:\WINDOWS\system32\drivers\Cdfs.sys
13:31:25.0390 1860  Cdfs - ok
13:31:25.0468 1860  [ 1F4260CC5B42272D71F79E570A27A4FE ] Cdrom           C:\WINDOWS\system32\DRIVERS\cdrom.sys
13:31:25.0750 1860  Cdrom - ok
13:31:25.0750 1860  Changer - ok
13:31:25.0781 1860  [ 28E3040D1F1CA2008CD6B29DFEBC9A5E ] CiSvc           C:\WINDOWS\system32\cisvc.exe
13:31:25.0953 1860  CiSvc - ok
13:31:26.0000 1860  [ 778A30ED3C134EB7E406AFC407E9997D ] ClipSrv         C:\WINDOWS\system32\clipsrv.exe
13:31:26.0265 1860  ClipSrv - ok
13:31:26.0375 1860  [ D87ACAED61E417BBA546CED5E7E36D9C ] clr_optimization_v2.0.50727_32 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
13:31:26.0453 1860  clr_optimization_v2.0.50727_32 - ok
13:31:26.0562 1860  [ C5A75EB48E2344ABDC162BDA79E16841 ] clr_optimization_v4.0.30319_32 C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
13:31:26.0703 1860  clr_optimization_v4.0.30319_32 - ok
13:31:26.0765 1860  [ 0F6C187D38D98F8DF904589A5F94D411 ] CmBatt          C:\WINDOWS\system32\DRIVERS\CmBatt.sys
13:31:27.0046 1860  CmBatt - ok
13:31:27.0046 1860  CmdIde - ok
13:31:27.0093 1860  [ 6E4C9F21F0FAE8940661144F41B13203 ] Compbatt        C:\WINDOWS\system32\DRIVERS\compbatt.sys
13:31:27.0312 1860  Compbatt - ok
13:31:27.0312 1860  COMSysApp - ok
13:31:27.0328 1860  Cpqarray - ok
13:31:27.0406 1860  [ 611F824E5C703A5A899F84C5F1699E4D ] CryptSvc        C:\WINDOWS\System32\cryptsvc.dll
13:31:27.0593 1860  CryptSvc - ok
13:31:27.0703 1860  [ B5ECADF7708960F1818C7FA015F4C239 ] CVirtA          C:\WINDOWS\system32\DRIVERS\CVirtA.sys
13:31:27.0796 1860  CVirtA - ok
13:31:28.0718 1860  [ 30443EEF52F5FB043654859EAA8E5247 ] CVPND           C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
13:31:30.0281 1860  CVPND - ok
13:31:30.0453 1860  [ CB90B2762B1A1D0B40496400C55B6ADE ] CVPNDRVA        C:\WINDOWS\system32\Drivers\CVPNDRVA.sys
13:31:30.0703 1860  CVPNDRVA ( UnsignedFile.Multi.Generic ) - warning
13:31:30.0703 1860  CVPNDRVA - detected UnsignedFile.Multi.Generic (1)
13:31:30.0750 1860  CZCanSrv - ok
13:31:30.0750 1860  dac2w2k - ok
13:31:30.0750 1860  dac960nt - ok
13:31:30.0984 1860  [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] DcomLaunch      C:\WINDOWS\system32\rpcss.dll
13:31:31.0234 1860  DcomLaunch - ok
13:31:31.0359 1860  [ C29A1C9B75BA38FA37F8C44405DEC360 ] Dhcp            C:\WINDOWS\System32\dhcpcsvc.dll
13:31:31.0625 1860  Dhcp - ok
13:31:31.0687 1860  [ 044452051F3E02E7963599FC8F4F3E25 ] Disk            C:\WINDOWS\system32\DRIVERS\disk.sys
13:31:31.0859 1860  Disk - ok
13:31:31.0875 1860  dmadmin - ok
13:31:32.0328 1860  [ 0DCFC8395A99FECBB1EF771CEC7FE4EA ] dmboot          C:\WINDOWS\system32\drivers\dmboot.sys
13:31:33.0218 1860  dmboot - ok
13:31:33.0296 1860  [ 53720AB12B48719D00E327DA470A619A ] dmio            C:\WINDOWS\system32\drivers\dmio.sys
13:31:33.0500 1860  dmio - ok
13:31:33.0546 1860  [ E9317282A63CA4D188C0DF5E09C6AC5F ] dmload          C:\WINDOWS\system32\drivers\dmload.sys
13:31:33.0734 1860  dmload - ok
13:31:33.0796 1860  [ 25C83FFBBA13B554EB6D59A9B2E2EE78 ] dmserver        C:\WINDOWS\System32\dmserver.dll
13:31:34.0000 1860  dmserver - ok
13:31:34.0125 1860  [ 8A208DFCF89792A484E76C40E5F50B45 ] DMusic          C:\WINDOWS\system32\drivers\DMusic.sys
13:31:34.0343 1860  DMusic - ok
13:31:34.0453 1860  [ B5AA5AA5AC327BD7C1AEC0C58F0C1144 ] DNE             C:\WINDOWS\system32\DRIVERS\dne2000.sys
13:31:34.0546 1860  DNE - ok
13:31:34.0609 1860  [ 407F3227AC618FD1CA54B335B083DE07 ] Dnscache        C:\WINDOWS\System32\dnsrslvr.dll
13:31:34.0718 1860  Dnscache - ok
13:31:34.0828 1860  [ 676E36C4FF5BCEA1900F44182B9723E6 ] Dot3svc         C:\WINDOWS\System32\dot3svc.dll
13:31:35.0078 1860  Dot3svc - ok
13:31:35.0078 1860  dpti2o - ok
13:31:35.0093 1860  [ 8F5FCFF8E8848AFAC920905FBD9D33C8 ] drmkaud         C:\WINDOWS\system32\drivers\drmkaud.sys
13:31:35.0375 1860  drmkaud - ok
13:31:35.0406 1860  [ 4E4F2FDDAB0A0736D7671134DCCE91FB ] EapHost         C:\WINDOWS\System32\eapsvc.dll
13:31:35.0593 1860  EapHost - ok
13:31:35.0609 1860  [ 877C18558D70587AA7823A1A308AC96B ] ERSvc           C:\WINDOWS\System32\ersvc.dll
13:31:35.0828 1860  ERSvc - ok
13:31:35.0937 1860  [ A3EDBE9053889FB24AB22492472B39DC ] Eventlog        C:\WINDOWS\system32\services.exe
13:31:36.0062 1860  Eventlog - ok
13:31:36.0250 1860  [ AF4F6B5739D18CA7972AB53E091CBC74 ] EventSystem     C:\WINDOWS\system32\es.dll
13:31:36.0468 1860  EventSystem - ok
13:31:36.0609 1860  [ 38D332A6D56AF32635675F132548343E ] Fastfat         C:\WINDOWS\system32\drivers\Fastfat.sys
13:31:36.0843 1860  Fastfat - ok
13:31:36.0937 1860  [ 2DB7D303C36DDD055215052F118E8E75 ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
13:31:37.0093 1860  FastUserSwitchingCompatibility - ok
13:31:37.0109 1860  [ 92CDD60B6730B9F50F6A1A0C1F8CDC81 ] Fdc             C:\WINDOWS\system32\drivers\Fdc.sys
13:31:37.0265 1860  Fdc - ok
13:31:37.0312 1860  [ B0678A548587C5F1967B0D70BACAD6C1 ] Fips            C:\WINDOWS\system32\drivers\Fips.sys
13:31:37.0546 1860  Fips - ok
13:31:37.0562 1860  [ 9D27E7B80BFCDF1CDD9B555862D5E7F0 ] Flpydisk        C:\WINDOWS\system32\drivers\Flpydisk.sys
13:31:37.0718 1860  Flpydisk - ok
13:31:37.0828 1860  [ B2CF4B0786F8212CB92ED2B50C6DB6B0 ] FltMgr          C:\WINDOWS\system32\DRIVERS\fltMgr.sys
13:31:38.0031 1860  FltMgr - ok
13:31:38.0140 1860  [ 8BA7C024070F2B7FDD98ED8A4BA41789 ] FontCache3.0.0.0 c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
13:31:38.0406 1860  FontCache3.0.0.0 - ok
13:31:38.0453 1860  [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A ] Fs_Rec          C:\WINDOWS\system32\drivers\Fs_Rec.sys
13:31:38.0765 1860  Fs_Rec - ok
13:31:38.0875 1860  [ 8F1955CE42E1484714B542F341647778 ] Ftdisk          C:\WINDOWS\system32\DRIVERS\ftdisk.sys
13:31:39.0312 1860  Ftdisk - ok
13:31:39.0359 1860  [ 0A02C63C8B144BD8C86B103DEE7C86A2 ] Gpc             C:\WINDOWS\system32\DRIVERS\msgpc.sys
13:31:39.0921 1860  Gpc - ok
13:31:40.0078 1860  guardian2 - ok
13:31:40.0500 1860  [ A9D587E31DBEE3E9BD97FEFECE0BA874 ] hardlock        C:\WINDOWS\system32\drivers\hardlock.sys
13:31:41.0531 1860  hardlock - ok
13:31:41.0546 1860  hasplms - ok
13:31:41.0734 1860  [ 573C7D0A32852B48F3058CFD8026F511 ] HDAudBus        C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
13:31:42.0546 1860  HDAudBus - ok
13:31:42.0750 1860  [ CB66BF85BF599BEFD6C6A57C2E20357F ] helpsvc         C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
13:31:43.0093 1860  helpsvc - ok
13:31:43.0109 1860  HidServ - ok
13:31:43.0218 1860  [ CCF82C5EC8A7326C3066DE870C06DAF1 ] HidUsb          C:\WINDOWS\system32\DRIVERS\hidusb.sys
13:31:43.0515 1860  HidUsb - ok
13:31:43.0640 1860  [ ED29F14101523A6E0E808107405D452C ] hkmsvc          C:\WINDOWS\System32\kmsvc.dll
13:31:43.0984 1860  hkmsvc - ok
13:31:43.0984 1860  hpn - ok
13:31:44.0046 1860  [ 863CC3A82C63C9F60ACF2E85D5310620 ] HPZid412        C:\WINDOWS\system32\DRIVERS\HPZid412.sys
13:31:44.0265 1860  HPZid412 - ok
13:31:44.0296 1860  [ 08CB72E95DD75B61F2966B311D0E4366 ] HPZipr12        C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
13:31:44.0390 1860  HPZipr12 - ok
13:31:44.0421 1860  [ CA990306ED4EF732AF9695BFF24FC96F ] HPZius12        C:\WINDOWS\system32\DRIVERS\HPZius12.sys
13:31:44.0546 1860  HPZius12 - ok
13:31:44.0734 1860  [ F80A415EF82CD06FFAF0D971528EAD38 ] HTTP            C:\WINDOWS\system32\Drivers\HTTP.sys
13:31:45.0000 1860  HTTP - ok
13:31:45.0046 1860  [ 9E4ADB854CEBCFB81A4B36718FEECD16 ] HTTPFilter      C:\WINDOWS\System32\w3ssl.dll
13:31:45.0296 1860  HTTPFilter - ok
13:31:45.0296 1860  i2omgmt - ok
13:31:45.0296 1860  i2omp - ok
13:31:45.0375 1860  [ E283B97CFBEB86C1D86BAED5F7846A92 ] i8042prt        C:\WINDOWS\system32\DRIVERS\i8042prt.sys
13:31:45.0578 1860  i8042prt - ok
13:31:46.0171 1860  [ C01AC32DC5C03076CFB852CB5DA5229C ] idsvc           C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
13:31:47.0093 1860  idsvc - ok
13:31:47.0125 1860  [ 083A052659F5310DD8B6A6CB05EDCF8E ] Imapi           C:\WINDOWS\system32\DRIVERS\imapi.sys
13:31:47.0312 1860  Imapi - ok
13:31:47.0437 1860  [ D4B413AA210C21E46AEDD2BA5B68D38E ] ImapiService    C:\WINDOWS\system32\imapi.exe
13:31:47.0703 1860  ImapiService - ok
13:31:47.0718 1860  ini910u - ok
13:31:47.0718 1860  IntelIde - ok
13:31:47.0781 1860  [ 4C7D2750158ED6E7AD642D97BFFAE351 ] intelppm        C:\WINDOWS\system32\DRIVERS\intelppm.sys
13:31:48.0015 1860  intelppm - ok
13:31:48.0046 1860  [ 3BB22519A194418D5FEC05D800A19AD0 ] Ip6Fw           C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys
13:31:48.0218 1860  Ip6Fw - ok
13:31:48.0281 1860  [ 731F22BA402EE4B62748ADAF6363C182 ] IpFilterDriver  C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
13:31:48.0500 1860  IpFilterDriver - ok
13:31:48.0515 1860  [ B87AB476DCF76E72010632B5550955F5 ] IpInIp          C:\WINDOWS\system32\DRIVERS\ipinip.sys
13:31:48.0718 1860  IpInIp - ok
13:31:48.0828 1860  [ CC748EA12C6EFFDE940EE98098BF96BB ] IpNat           C:\WINDOWS\system32\DRIVERS\ipnat.sys
13:31:49.0109 1860  IpNat - ok
13:31:49.0203 1860  [ 23C74D75E36E7158768DD63D92789A91 ] IPSec           C:\WINDOWS\system32\DRIVERS\ipsec.sys
13:31:49.0390 1860  IPSec - ok
13:31:49.0437 1860  [ C93C9FF7B04D772627A3646D89F7BF89 ] IRENUM          C:\WINDOWS\system32\DRIVERS\irenum.sys
13:31:49.0531 1860  IRENUM - ok
13:31:49.0609 1860  [ 6DFB88F64135C525433E87648BDA30DE ] isapnp          C:\WINDOWS\system32\DRIVERS\isapnp.sys
13:31:49.0812 1860  isapnp - ok
13:31:49.0875 1860  [ 1704D8C4C8807B889E43C649B478A452 ] Kbdclass        C:\WINDOWS\system32\DRIVERS\kbdclass.sys
13:31:50.0125 1860  Kbdclass - ok
13:31:50.0218 1860  [ 692BCF44383D056AED41B045A323D378 ] kmixer          C:\WINDOWS\system32\drivers\kmixer.sys
13:31:50.0406 1860  kmixer - ok
13:31:50.0468 1860  [ B467646C54CC746128904E1654C750C1 ] KSecDD          C:\WINDOWS\system32\drivers\KSecDD.sys
13:31:50.0640 1860  KSecDD - ok
13:31:50.0750 1860  [ 2BBDCB79900990F0716DFCB714E72DE7 ] LanmanServer    C:\WINDOWS\System32\srvsvc.dll
13:31:50.0890 1860  LanmanServer - ok
13:31:51.0062 1860  [ 1869B14B06B44B44AF70548E1EA3303F ] lanmanworkstation C:\WINDOWS\System32\wkssvc.dll
13:31:51.0171 1860  lanmanworkstation - ok
13:31:51.0187 1860  lbrtfdc - ok
13:31:51.0234 1860  [ 636714B7D43C8D0C80449123FD266920 ] LmHosts         C:\WINDOWS\System32\lmhsvc.dll
13:31:51.0468 1860  LmHosts - ok
13:31:51.0515 1860  [ 4A5FFDF0FE830C448830BD4B02B02B4B ] mbamchameleon   C:\WINDOWS\system32\drivers\mbamchameleon.sys
13:31:51.0562 1860  mbamchameleon - ok
13:31:51.0593 1860  [ B7550A7107281D170CE85524B1488C98 ] Messenger       C:\WINDOWS\System32\msgsvc.dll
13:31:51.0765 1860  Messenger - ok
13:31:51.0828 1860  [ 4AE068242760A1FB6E1A44BF4E16AFA6 ] mnmdd           C:\WINDOWS\system32\drivers\mnmdd.sys
13:31:52.0015 1860  mnmdd - ok
13:31:52.0078 1860  [ C2F1D365FD96791B037EE504868065D3 ] mnmsrvc         C:\WINDOWS\system32\mnmsrvc.exe
13:31:52.0218 1860  mnmsrvc - ok
13:31:52.0265 1860  [ 6FB74EBD4EC57A6F1781DE3852CC3362 ] Modem           C:\WINDOWS\system32\drivers\Modem.sys
13:31:52.0468 1860  Modem - ok
13:31:52.0531 1860  [ B24CE8005DEAB254C0251E15CB71D802 ] Mouclass        C:\WINDOWS\system32\DRIVERS\mouclass.sys
13:31:52.0734 1860  Mouclass - ok
13:31:52.0781 1860  [ 66A6F73C74E1791464160A7065CE711A ] mouhid          C:\WINDOWS\system32\DRIVERS\mouhid.sys
13:31:52.0937 1860  mouhid - ok
13:31:53.0000 1860  [ A80B9A0BAD1B73637DBCBBA7DF72D3FD ] MountMgr        C:\WINDOWS\system32\drivers\MountMgr.sys
13:31:53.0234 1860  MountMgr - ok
13:31:53.0359 1860  [ 8A7C8F4C713E70D73946833D76B77035 ] MozillaMaintenance C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
13:31:53.0453 1860  MozillaMaintenance - ok
13:31:53.0453 1860  mraid35x - ok
13:31:53.0546 1860  [ 11D42BB6206F33FBB3BA0288D3EF81BD ] MRxDAV          C:\WINDOWS\system32\DRIVERS\mrxdav.sys
13:31:53.0859 1860  MRxDAV - ok
13:31:54.0125 1860  [ 7D304A5EB4344EBEEAB53A2FE3FFB9F0 ] MRxSmb          C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
13:31:54.0562 1860  MRxSmb - ok
13:31:54.0625 1860  [ 35A031AF38C55F92D28AA03EE9F12CC9 ] MSDTC           C:\WINDOWS\system32\msdtc.exe
13:31:54.0890 1860  MSDTC - ok
13:31:54.0937 1860  [ C941EA2454BA8350021D774DAF0F1027 ] Msfs            C:\WINDOWS\system32\drivers\Msfs.sys
13:31:55.0109 1860  Msfs - ok
13:31:55.0109 1860  MSIServer - ok
13:31:55.0156 1860  [ D1575E71568F4D9E14CA56B7B0453BF1 ] MSKSSRV         C:\WINDOWS\system32\drivers\MSKSSRV.sys
13:31:55.0328 1860  MSKSSRV - ok
13:31:55.0359 1860  [ 325BB26842FC7CCC1FCCE2C457317F3E ] MSPCLOCK        C:\WINDOWS\system32\drivers\MSPCLOCK.sys
13:31:55.0515 1860  MSPCLOCK - ok
13:31:55.0546 1860  [ BAD59648BA099DA4A17680B39730CB3D ] MSPQM           C:\WINDOWS\system32\drivers\MSPQM.sys
13:31:55.0750 1860  MSPQM - ok
13:31:55.0812 1860  [ AF5F4F3F14A8EA2C26DE30F7A1E17136 ] mssmbios        C:\WINDOWS\system32\DRIVERS\mssmbios.sys
13:31:56.0015 1860  mssmbios - ok
13:31:56.0140 1860  MTBService_2.0.0.13 - ok
13:31:56.0250 1860  [ DE6A75F5C270E756C5508D94B6CF68F5 ] Mup             C:\WINDOWS\system32\drivers\Mup.sys
13:31:56.0375 1860  Mup - ok
13:31:56.0562 1860  [ 46BB15AE2AC7D025D6D2567B876817BD ] napagent        C:\WINDOWS\System32\qagentrt.dll
13:31:56.0953 1860  napagent - ok
13:31:57.0062 1860  [ 1DF7F42665C94B825322FAE71721130D ] NDIS            C:\WINDOWS\system32\drivers\NDIS.sys
13:31:57.0312 1860  NDIS - ok
13:31:57.0359 1860  [ 0109C4F3850DFBAB279542515386AE22 ] NdisTapi        C:\WINDOWS\system32\DRIVERS\ndistapi.sys
13:31:57.0453 1860  NdisTapi - ok
13:31:57.0500 1860  [ F927A4434C5028758A842943EF1A3849 ] Ndisuio         C:\WINDOWS\system32\DRIVERS\ndisuio.sys
13:31:57.0765 1860  Ndisuio - ok
13:31:57.0828 1860  [ EDC1531A49C80614B2CFDA43CA8659AB ] NdisWan         C:\WINDOWS\system32\DRIVERS\ndiswan.sys
13:31:58.0046 1860  NdisWan - ok
13:31:58.0109 1860  [ 9282BD12DFB069D3889EB3FCC1000A9B ] NDProxy         C:\WINDOWS\system32\drivers\NDProxy.sys
13:31:58.0234 1860  NDProxy - ok
13:31:58.0265 1860  [ 5D81CF9A2F1A3A756B66CF684911CDF0 ] NetBIOS         C:\WINDOWS\system32\DRIVERS\netbios.sys
13:31:58.0500 1860  NetBIOS - ok
13:31:58.0609 1860  [ 74B2B2F5BEA5E9A3DC021D685551BD3D ] NetBT           C:\WINDOWS\system32\DRIVERS\netbt.sys
13:31:58.0859 1860  NetBT - ok
13:31:58.0953 1860  [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDE          C:\WINDOWS\system32\netdde.exe
13:31:59.0125 1860  NetDDE - ok
13:31:59.0187 1860  [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDEdsdm      C:\WINDOWS\system32\netdde.exe
13:31:59.0296 1860  NetDDEdsdm - ok
13:31:59.0328 1860  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] Netlogon        C:\WINDOWS\system32\lsass.exe
13:31:59.0515 1860  Netlogon - ok
13:31:59.0671 1860  [ E6D88F1F6745BF00B57E7855A2AB696C ] Netman          C:\WINDOWS\System32\netman.dll
13:31:59.0812 1860  Netman - ok
13:31:59.0953 1860  [ D22CD77D4F0D63D1169BB35911BFF12D ] NetTcpPortSharing c:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
13:32:00.0078 1860  NetTcpPortSharing - ok
13:32:02.0250 1860  [ 91F027C242D3FF6E5C09F92A0518297F ] NETw5x32        C:\WINDOWS\system32\DRIVERS\NETw5x32.sys
13:32:06.0546 1860  NETw5x32 - ok
13:32:06.0625 1860  [ E9E47CFB2D461FA0FC75B7A74C6383EA ] NIC1394         C:\WINDOWS\system32\DRIVERS\nic1394.sys
13:32:06.0828 1860  NIC1394 - ok
13:32:06.0984 1860  [ F1B67B6B0751AE0E6E964B02821206A3 ] Nla             C:\WINDOWS\System32\mswsock.dll
13:32:07.0078 1860  Nla - ok
13:32:07.0109 1860  [ 3182D64AE053D6FB034F44B6DEF8034A ] Npfs            C:\WINDOWS\system32\drivers\Npfs.sys
13:32:07.0281 1860  Npfs - ok
13:32:07.0578 1860  [ 78A08DD6A8D65E697C18E1DB01C5CDCA ] Ntfs            C:\WINDOWS\system32\drivers\Ntfs.sys
13:32:08.0203 1860  Ntfs - ok
13:32:08.0218 1860  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] NtLmSsp         C:\WINDOWS\system32\lsass.exe
13:32:08.0328 1860  NtLmSsp - ok
13:32:08.0593 1860  [ 56AF4064996FA5BAC9C449B1514B4770 ] NtmsSvc         C:\WINDOWS\system32\ntmssvc.dll
13:32:09.0078 1860  NtmsSvc - ok
13:32:09.0109 1860  [ 73C1E1F395918BC2C6DD67AF7591A3AD ] Null            C:\WINDOWS\system32\drivers\Null.sys
13:32:09.0281 1860  Null - ok
13:32:12.0828 1860  [ 77F427E51479C66C09F967D15B639B37 ] nv              C:\WINDOWS\system32\DRIVERS\nv4_mini.sys
13:32:19.0875 1860  nv - ok
13:32:20.0000 1860  [ 143F50273CFB6D970F06A1C2D7FBBF78 ] NVSvc           C:\WINDOWS\system32\nvsvc32.exe
13:32:20.0203 1860  NVSvc - ok
13:32:20.0265 1860  [ B305F3FAD35083837EF46A0BBCE2FC57 ] NwlnkFlt        C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
13:32:20.0500 1860  NwlnkFlt - ok
13:32:20.0531 1860  [ C99B3415198D1AAB7227F2C88FD664B9 ] NwlnkFwd        C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
13:32:20.0718 1860  NwlnkFwd - ok
13:32:21.0171 1860  [ 785F487A64950F3CB8E9F16253BA3B7B ] odserv          C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE
13:32:21.0640 1860  odserv - ok
13:32:21.0718 1860  [ CA33832DF41AFB202EE7AEB05145922F ] ohci1394        C:\WINDOWS\system32\DRIVERS\ohci1394.sys
13:32:21.0906 1860  ohci1394 - ok
13:32:22.0031 1860  [ 5A432A042DAE460ABE7199B758E8606C ] ose             C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
13:32:22.0171 1860  ose - ok
13:32:22.0234 1860  [ F84785660305B9B903FB3BCA8BA29837 ] Parport         C:\WINDOWS\system32\DRIVERS\parport.sys
13:32:22.0437 1860  Parport - ok
13:32:22.0453 1860  [ BEB3BA25197665D82EC7065B724171C6 ] PartMgr         C:\WINDOWS\system32\drivers\PartMgr.sys
13:32:22.0656 1860  PartMgr - ok
13:32:22.0703 1860  [ C2BF987829099A3EAA2CA6A0A90ECB4F ] ParVdm          C:\WINDOWS\system32\drivers\ParVdm.sys
13:32:22.0875 1860  ParVdm - ok
13:32:22.0937 1860  [ 387E8DEDC343AA2D1EFBC30580273ACD ] PCI             C:\WINDOWS\system32\DRIVERS\pci.sys
13:32:23.0140 1860  PCI - ok
13:32:23.0140 1860  PCIDump - ok
13:32:23.0156 1860  [ 59BA86D9A61CBCF4DF8E598C331F5B82 ] PCIIde          C:\WINDOWS\system32\DRIVERS\pciide.sys
13:32:23.0312 1860  PCIIde - ok
13:32:23.0421 1860  [ A2A966B77D61847D61A3051DF87C8C97 ] Pcmcia          C:\WINDOWS\system32\DRIVERS\pcmcia.sys
13:32:23.0656 1860  Pcmcia - ok
13:32:23.0656 1860  PDCOMP - ok
13:32:24.0437 1860  [ A1688A4FB2EC49D040C027EF6DC7A87B ] PDF Architect Helper Service C:\Programme\PDF Architect\HelperService.exe
13:32:25.0687 1860  PDF Architect Helper Service - ok
13:32:26.0125 1860  [ E23FF9B2F8EEAB2BDDA681C21C48E843 ] PDF Architect Service C:\Programme\PDF Architect\ConversionService.exe
13:32:26.0875 1860  PDF Architect Service - ok
13:32:26.0875 1860  PDFRAME - ok
13:32:26.0875 1860  PDRELI - ok
13:32:26.0890 1860  PDRFRAME - ok
13:32:26.0890 1860  perc2 - ok
13:32:26.0890 1860  perc2hib - ok
13:32:26.0984 1860  [ A3EDBE9053889FB24AB22492472B39DC ] PlugPlay        C:\WINDOWS\system32\services.exe
13:32:27.0031 1860  PlugPlay - ok
13:32:27.0109 1860  [ FB03F341FF5380394BF2EE52F1979925 ] Pml Driver HPZ12 C:\WINDOWS\system32\HPZipm12.exe
13:32:27.0281 1860  Pml Driver HPZ12 - ok
13:32:27.0296 1860  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] PolicyAgent     C:\WINDOWS\system32\lsass.exe
13:32:27.0453 1860  PolicyAgent - ok
13:32:27.0500 1860  [ EFEEC01B1D3CF84F16DDD24D9D9D8F99 ] PptpMiniport    C:\WINDOWS\system32\DRIVERS\raspptp.sys
13:32:27.0703 1860  PptpMiniport - ok
13:32:27.0718 1860  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] ProtectedStorage C:\WINDOWS\system32\lsass.exe
13:32:27.0828 1860  ProtectedStorage - ok
13:32:27.0875 1860  [ 09298EC810B07E5D582CB3A3F9255424 ] PSched          C:\WINDOWS\system32\DRIVERS\psched.sys
13:32:28.0062 1860  PSched - ok
13:32:28.0078 1860  [ 80D317BD1C3DBC5D4FE7B1678C60CADD ] Ptilink         C:\WINDOWS\system32\DRIVERS\ptilink.sys
13:32:28.0234 1860  Ptilink - ok
13:32:28.0250 1860  ql1080 - ok
13:32:28.0250 1860  Ql10wnt - ok
13:32:28.0250 1860  ql12160 - ok
13:32:28.0250 1860  ql1240 - ok
13:32:28.0265 1860  ql1280 - ok
13:32:28.0281 1860  [ FE0D99D6F31E4FAD8159F690D68DED9C ] RasAcd          C:\WINDOWS\system32\DRIVERS\rasacd.sys
13:32:28.0453 1860  RasAcd - ok
13:32:28.0531 1860  [ F5BA6CACCDB66C8F048E867563203246 ] RasAuto         C:\WINDOWS\System32\rasauto.dll
13:32:28.0703 1860  RasAuto - ok
13:32:28.0750 1860  [ 11B4A627BC9614B885C4969BFA5FF8A6 ] Rasl2tp         C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
13:32:28.0968 1860  Rasl2tp - ok
13:32:29.0078 1860  [ F9A7B66EA345726EDB5862A46B1ECCD5 ] RasMan          C:\WINDOWS\System32\rasmans.dll
13:32:29.0359 1860  RasMan - ok
13:32:29.0375 1860  [ 5BC962F2654137C9909C3D4603587DEE ] RasPppoe        C:\WINDOWS\system32\DRIVERS\raspppoe.sys
13:32:29.0562 1860  RasPppoe - ok
13:32:29.0593 1860  [ FDBB1D60066FCFBB7452FD8F9829B242 ] Raspti          C:\WINDOWS\system32\DRIVERS\raspti.sys
13:32:29.0765 1860  Raspti - ok
13:32:29.0859 1860  [ 7AD224AD1A1437FE28D89CF22B17780A ] Rdbss           C:\WINDOWS\system32\DRIVERS\rdbss.sys
13:32:30.0109 1860  Rdbss - ok
13:32:30.0140 1860  [ 4912D5B403614CE99C28420F75353332 ] RDPCDD          C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
13:32:30.0281 1860  RDPCDD - ok
13:32:30.0406 1860  [ 15CABD0F7C00C47C70124907916AF3F1 ] rdpdr           C:\WINDOWS\system32\DRIVERS\rdpdr.sys
13:32:30.0671 1860  rdpdr - ok
13:32:30.0781 1860  [ 43AF5212BD8FB5BA6EED9754358BD8F7 ] RDPWD           C:\WINDOWS\system32\drivers\RDPWD.sys
13:32:30.0968 1860  RDPWD - ok
13:32:31.0046 1860  [ 263AF18AF0F3DB99F574C95F284CCEC9 ] RDSessMgr       C:\WINDOWS\system32\sessmgr.exe
13:32:31.0296 1860  RDSessMgr - ok
13:32:31.0328 1860  [ ED761D453856F795A7FE056E42C36365 ] redbook         C:\WINDOWS\system32\DRIVERS\redbook.sys
13:32:31.0546 1860  redbook - ok
13:32:31.0609 1860  [ 0E97EC96D6942CEEC2D188CC2EB69A01 ] RemoteAccess    C:\WINDOWS\System32\mprdim.dll
13:32:31.0765 1860  RemoteAccess - ok
13:32:31.0812 1860  [ E4CD1F3D84E1C2CA0B8CF7501E201593 ] RemoteRegistry  C:\WINDOWS\system32\regsvc.dll
13:32:32.0000 1860  RemoteRegistry - ok
13:32:32.0046 1860  [ 851C30DF2807FCFA21E4C681A7D6440E ] RFCOMM          C:\WINDOWS\system32\DRIVERS\rfcomm.sys
13:32:32.0234 1860  RFCOMM - ok
13:32:32.0296 1860  [ 2A02E21867497DF20B8FC95631395169 ] RpcLocator      C:\WINDOWS\system32\locator.exe
13:32:32.0500 1860  RpcLocator - ok
13:32:32.0703 1860  [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] RpcSs           C:\WINDOWS\system32\rpcss.dll
13:32:32.0875 1860  RpcSs - ok
13:32:32.0984 1860  [ 4BDD71B4B521521499DFD14735C4F398 ] RSVP            C:\WINDOWS\system32\rsvp.exe
13:32:33.0187 1860  RSVP - ok
13:32:33.0218 1860  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] SamSs           C:\WINDOWS\system32\lsass.exe
13:32:33.0328 1860  SamSs - ok
13:32:33.0421 1860  [ DCEC079FAD95D36C8DD5CB6D779DFE32 ] SCardSvr        C:\WINDOWS\System32\SCardSvr.exe
13:32:33.0609 1860  SCardSvr - ok
13:32:33.0765 1860  [ A050194A44D7FA8D7186ED2F4E8367AE ] Schedule        C:\WINDOWS\system32\schedsvc.dll
13:32:34.0031 1860  Schedule - ok
13:32:34.0078 1860  [ 90A3935D05B494A5A39D37E71F09A677 ] Secdrv          C:\WINDOWS\system32\DRIVERS\secdrv.sys
13:32:34.0171 1860  Secdrv - ok
13:32:34.0218 1860  [ BEE4CFD1D48C23B44CF4B974B0B79B2B ] seclogon        C:\WINDOWS\System32\seclogon.dll
13:32:34.0390 1860  seclogon - ok
13:32:34.0406 1860  [ 2AAC9B6ED9EDDFFB721D6452E34D67E3 ] SENS            C:\WINDOWS\system32\sens.dll
13:32:34.0609 1860  SENS - ok
13:32:34.0640 1860  [ 0F29512CCD6BEAD730039FB4BD2C85CE ] serenum         C:\WINDOWS\system32\DRIVERS\serenum.sys
13:32:34.0796 1860  serenum - ok
13:32:34.0828 1860  [ CF24EB4F0412C82BCD1F4F35A025E31D ] Serial          C:\WINDOWS\system32\DRIVERS\serial.sys
13:32:35.0031 1860  Serial - ok
13:32:35.0046 1860  [ 8E6B8C671615D126FDC553D1E2DE5562 ] Sfloppy         C:\WINDOWS\system32\drivers\Sfloppy.sys
13:32:35.0250 1860  Sfloppy - ok
13:32:35.0437 1860  [ CAD058D5F8B889A87CA3EB3CF624DCEF ] SharedAccess    C:\WINDOWS\System32\ipnathlp.dll
13:32:35.0859 1860  SharedAccess - ok
13:32:35.0953 1860  [ 2DB7D303C36DDD055215052F118E8E75 ] ShellHWDetection C:\WINDOWS\System32\shsvcs.dll
13:32:35.0984 1860  ShellHWDetection - ok
13:32:35.0984 1860  Simbad - ok
13:32:36.0046 1860  [ 7A1A532F14FDE28489DC349C6E404A67 ] SimpTcp         C:\WINDOWS\system32\tcpsvcs.exe
13:32:36.0218 1860  SimpTcp - ok
13:32:36.0234 1860  Sparrow - ok
13:32:36.0281 1860  [ AB8B92451ECB048A4D1DE7C3FFCB4A9F ] splitter        C:\WINDOWS\system32\drivers\splitter.sys
13:32:36.0437 1860  splitter - ok
13:32:36.0500 1860  [ 60784F891563FB1B767F70117FC2428F ] Spooler         C:\WINDOWS\system32\spoolsv.exe
13:32:36.0625 1860  Spooler - ok
13:32:36.0718 1860  [ 50FA898F8C032796D3B1B9951BB5A90F ] sr              C:\WINDOWS\system32\DRIVERS\sr.sys
13:32:36.0843 1860  sr - ok
13:32:36.0953 1860  [ FE77A85495065F3AD59C5C65B6C54182 ] srservice       C:\WINDOWS\system32\srsvc.dll
13:32:37.0140 1860  srservice - ok
13:32:37.0375 1860  [ 47DDFC2F003F7F9F0592C6874962A2E7 ] Srv             C:\WINDOWS\system32\DRIVERS\srv.sys
13:32:37.0734 1860  Srv - ok
13:32:37.0812 1860  [ 4DF5B05DFAEC29E13E1ED6F6EE12C500 ] SSDPSRV         C:\WINDOWS\System32\ssdpsrv.dll
13:32:37.0937 1860  SSDPSRV - ok
13:32:38.0000 1860  [ A36EE93698802CD899F98BFD553D8185 ] ssmdrv          C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
13:32:38.0078 1860  ssmdrv - ok
13:32:38.0734 1860  [ 951801DFB54D86F611F0AF47825476F9 ] STHDA           C:\WINDOWS\system32\drivers\sthda.sys
13:32:39.0968 1860  STHDA - ok
13:32:40.0203 1860  [ BC2C5985611C5356B24AEB370953DED9 ] stisvc          C:\WINDOWS\system32\wiaservc.dll
13:32:40.0656 1860  stisvc - ok
13:32:40.0671 1860  [ 3941D127AEF12E93ADDF6FE6EE027E0F ] swenum          C:\WINDOWS\system32\DRIVERS\swenum.sys
13:32:40.0843 1860  swenum - ok
13:32:40.0890 1860  [ 8CE882BCC6CF8A62F2B2323D95CB3D01 ] swmidi          C:\WINDOWS\system32\drivers\swmidi.sys
13:32:41.0093 1860  swmidi - ok
13:32:41.0093 1860  SwPrv - ok
13:32:41.0093 1860  symc810 - ok
13:32:41.0109 1860  symc8xx - ok
13:32:41.0109 1860  sym_hi - ok
13:32:41.0109 1860  sym_u3 - ok
13:32:41.0156 1860  [ 8B83F3ED0F1688B4958F77CD6D2BF290 ] sysaudio        C:\WINDOWS\system32\drivers\sysaudio.sys
13:32:41.0390 1860  sysaudio - ok
13:32:41.0468 1860  [ 2903FFFA2523926D6219428040DCE6B9 ] SysmonLog       C:\WINDOWS\system32\smlogsvc.exe
13:32:41.0687 1860  SysmonLog - ok
13:32:41.0828 1860  [ 05903CAC4B98908D55EA5774775B382E ] TapiSrv         C:\WINDOWS\System32\tapisrv.dll
13:32:42.0171 1860  TapiSrv - ok
13:32:42.0359 1860  [ 9AEFA14BD6B182D61E3119FA5F436D3D ] Tcpip           C:\WINDOWS\system32\DRIVERS\tcpip.sys
13:32:42.0718 1860  Tcpip - ok
13:32:42.0859 1860  [ 4E53BBCC4BE37D7A4BD6EF1098C89FF7 ] Tcpip6          C:\WINDOWS\system32\DRIVERS\tcpip6.sys
13:32:43.0046 1860  Tcpip6 - ok
13:32:43.0078 1860  [ 6471A66807F5E104E4885F5B67349397 ] TDPIPE          C:\WINDOWS\system32\drivers\TDPIPE.sys
13:32:43.0250 1860  TDPIPE - ok
13:32:43.0296 1860  [ C56B6D0402371CF3700EB322EF3AAF61 ] TDTCP           C:\WINDOWS\system32\drivers\TDTCP.sys
13:32:43.0546 1860  TDTCP - ok
13:32:43.0578 1860  [ 88155247177638048422893737429D9E ] TermDD          C:\WINDOWS\system32\DRIVERS\termdd.sys
13:32:43.0765 1860  TermDD - ok
13:32:43.0937 1860  [ B7DE02C863D8F5A005A7BF375375A6A4 ] TermService     C:\WINDOWS\System32\termsrv.dll
13:32:44.0296 1860  TermService - ok
13:32:44.0375 1860  [ 2DB7D303C36DDD055215052F118E8E75 ] Themes          C:\WINDOWS\System32\shsvcs.dll
13:32:44.0406 1860  Themes - ok
13:32:44.0484 1860  [ 03681A1CE77F51586903869A5AB1DEAB ] TlntSvr         C:\WINDOWS\system32\tlntsvr.exe
13:32:44.0656 1860  TlntSvr - ok
13:32:44.0656 1860  TosIde - ok
13:32:44.0718 1860  [ 626504572B175867F30F3215C04B3E2F ] TrkWks          C:\WINDOWS\system32\trkwks.dll
13:32:44.0890 1860  TrkWks - ok
13:32:44.0921 1860  [ 8F861EDA21C05857EB8197300A92501C ] tunmp           C:\WINDOWS\system32\DRIVERS\tunmp.sys
13:32:45.0093 1860  tunmp - ok
13:32:45.0140 1860  [ 5787B80C2E3C5E2F56C2A233D91FA2C9 ] Udfs            C:\WINDOWS\system32\drivers\Udfs.sys
13:32:45.0375 1860  Udfs - ok
13:32:45.0375 1860  ultra - ok
13:32:45.0593 1860  [ 402DDC88356B1BAC0EE3DD1580C76A31 ] Update          C:\WINDOWS\system32\DRIVERS\update.sys
13:32:46.0078 1860  Update - ok
13:32:46.0203 1860  [ 1DFD8975D8C89214B98D9387C1125B49 ] upnphost        C:\WINDOWS\System32\upnphost.dll
13:32:46.0421 1860  upnphost - ok
13:32:46.0468 1860  [ 9B11E6118958E63E1FEF129466E2BDA7 ] UPS             C:\WINDOWS\System32\ups.exe
13:32:46.0625 1860  UPS - ok
13:32:46.0656 1860  [ 173F317CE0DB8E21322E71B7E60A27E8 ] usbccgp         C:\WINDOWS\system32\DRIVERS\usbccgp.sys
13:32:46.0812 1860  usbccgp - ok
13:32:46.0875 1860  [ 65DCF09D0E37D4C6B11B5B0B76D470A7 ] usbehci         C:\WINDOWS\system32\DRIVERS\usbehci.sys
13:32:47.0062 1860  usbehci - ok
13:32:47.0109 1860  [ 1AB3CDDE553B6E064D2E754EFE20285C ] usbhub          C:\WINDOWS\system32\DRIVERS\usbhub.sys
13:32:47.0343 1860  usbhub - ok
13:32:47.0375 1860  [ A717C8721046828520C9EDF31288FC00 ] usbprint        C:\WINDOWS\system32\DRIVERS\usbprint.sys
13:32:47.0562 1860  usbprint - ok
13:32:47.0593 1860  [ A32426D9B14A089EAA1D922E0C5801A9 ] USBSTOR         C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
13:32:47.0765 1860  USBSTOR - ok
13:32:47.0843 1860  [ 26496F9DEE2D787FC3E61AD54821FFE6 ] usbuhci         C:\WINDOWS\system32\DRIVERS\usbuhci.sys
13:32:48.0000 1860  usbuhci - ok
13:32:48.0015 1860  [ 0D3A8FAFCEACD8B7625CD549757A7DF1 ] VgaSave         C:\WINDOWS\System32\drivers\vga.sys
13:32:48.0187 1860  VgaSave - ok
13:32:48.0187 1860  ViaIde - ok
13:32:48.0265 1860  [ A5A712F4E880874A477AF790B5186E1D ] VolSnap         C:\WINDOWS\system32\drivers\VolSnap.sys
13:32:48.0468 1860  VolSnap - ok
13:32:48.0734 1860  [ 0354BA3A5BA5E28CC247EB5F5DD8793C ] vsdatant        C:\WINDOWS\system32\vsdatant.sys
13:32:49.0093 1860  vsdatant - ok
13:32:49.0281 1860  [ 68F106273BE29E7B7EF8266977268E78 ] VSS             C:\WINDOWS\System32\vssvc.exe
13:32:49.0531 1860  VSS - ok
13:32:49.0671 1860  [ 7B353059E665F8B7AD2BBEAEF597CF45 ] W32Time         C:\WINDOWS\system32\w32time.dll
13:32:49.0984 1860  W32Time - ok
13:32:50.0031 1860  [ E20B95BAEDB550F32DD489265C1DA1F6 ] Wanarp          C:\WINDOWS\system32\DRIVERS\wanarp.sys
13:32:50.0234 1860  Wanarp - ok
13:32:50.0593 1860  [ FD47474BD21794508AF449D9D91AF6E6 ] Wdf01000        C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
13:32:51.0031 1860  Wdf01000 - ok
13:32:51.0031 1860  WDICA - ok
13:32:51.0125 1860  [ 6768ACF64B18196494413695F0C3A00F ] wdmaud          C:\WINDOWS\system32\drivers\wdmaud.sys
13:32:51.0390 1860  wdmaud - ok
13:32:51.0453 1860  [ 81727C9873E3905A2FFC1EBD07265002 ] WebClient       C:\WINDOWS\System32\webclnt.dll
13:32:51.0625 1860  WebClient - ok
13:32:51.0828 1860  [ 6F3F3973D97714CC5F906A19FE883729 ] winmgmt         C:\WINDOWS\system32\wbem\WMIsvc.dll
13:32:52.0125 1860  winmgmt - ok
13:32:52.0187 1860  [ 6E18978B749F0696A774DE3F2CB142DD ] WmdmPmSN        C:\WINDOWS\system32\mspmsnsv.dll
13:32:52.0359 1860  WmdmPmSN - ok
13:32:52.0734 1860  [ FFA4D901D46D07A5BAB2D8307FBB51A6 ] Wmi             C:\WINDOWS\System32\advapi32.dll
13:32:53.0187 1860  Wmi - ok
13:32:53.0281 1860  [ 93908111BA57A6E60EC2FA2DE202105C ] WmiApSrv        C:\WINDOWS\system32\wbem\wmiapsrv.exe
13:32:53.0609 1860  WmiApSrv - ok
13:32:54.0062 1860  [ DCF3E3EDF5109EE8BC02FE6E1F045795 ] WPFFontCache_v0400 C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
13:32:54.0828 1860  WPFFontCache_v0400 - ok
13:32:54.0953 1860  [ 300B3E84FAF1A5C1F791C159BA28035D ] wscsvc          C:\WINDOWS\system32\wscsvc.dll
13:32:55.0140 1860  wscsvc - ok
13:32:55.0187 1860  [ 7B4FE05202AA6BF9F4DFD0E6A0D8A085 ] wuauserv        C:\WINDOWS\system32\wuauserv.dll
13:32:55.0343 1860  wuauserv - ok
13:32:55.0609 1860  [ C4F109C005F6725162D2D12CA751E4A7 ] WZCSVC          C:\WINDOWS\System32\wzcsvc.dll
13:32:56.0000 1860  WZCSVC - ok
13:32:56.0109 1860  [ 0ADA34871A2E1CD2CAAFED1237A47750 ] xmlprov         C:\WINDOWS\System32\xmlprov.dll
13:32:56.0328 1860  xmlprov - ok
13:32:56.0343 1860  ================ Scan global ===============================
13:32:56.0406 1860  [ 2C60091CA5F67C3032EAB3B30390C27F ] C:\WINDOWS\system32\basesrv.dll
13:32:56.0656 1860  [ A28CE25B59C90E12743001A1F2AE3613 ] C:\WINDOWS\system32\winsrv.dll
13:32:56.0968 1860  [ A28CE25B59C90E12743001A1F2AE3613 ] C:\WINDOWS\system32\winsrv.dll
13:32:57.0046 1860  [ A3EDBE9053889FB24AB22492472B39DC ] C:\WINDOWS\system32\services.exe
13:32:57.0062 1860  [Global] - ok
13:32:57.0062 1860  ================ Scan MBR ==================================
13:32:57.0093 1860  [ 72B8CE41AF0DE751C946802B3ED844B4 ] \Device\Harddisk0\DR0
13:32:57.0593 1860  \Device\Harddisk0\DR0 - ok
13:32:57.0593 1860  ================ Scan VBR ==================================
13:32:57.0593 1860  [ CB7564285C57AD9F5D97E0977D5DD601 ] \Device\Harddisk0\DR0\Partition1
13:32:57.0593 1860  \Device\Harddisk0\DR0\Partition1 - ok
13:32:57.0593 1860  ============================================================
13:32:57.0593 1860  Scan finished
13:32:57.0593 1860  ============================================================
13:32:57.0703 1520  Detected object count: 1
13:32:57.0703 1520  Actual detected object count: 1
13:37:14.0062 1520  CVPNDRVA ( UnsignedFile.Multi.Generic ) - skipped by user
13:37:14.0062 1520  CVPNDRVA ( UnsignedFile.Multi.Generic ) - User select action: Skip 
13:37:31.0531 3992  Deinitialize success
         
__________________

Alt 05.04.2013, 15:47   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Dann bitte jetzt Combofix ausführen:

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es eine Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 05.04.2013, 16:41   #5
Neutron_1
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Hallo cosinus,

ComboFix ist durch:

Code:
ATTFilter
ComboFix 13-04-04.01 - Corina 05.04.2013  16:24:58.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.405 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Corina\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-03-05 bis 2013-04-05  ))))))))))))))))))))))))))))))
.
.
2013-04-04 11:45 . 2013-04-04 11:45	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2013-04-04 11:45 . 2012-12-14 14:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-04-04 10:23 . 2013-04-04 10:23	--------	d-----w-	c:\programme\Broadcom
2013-04-04 08:40 . 2013-04-04 08:40	--------	d-----w-	c:\dokumente und einstellungen\Corina\Anwendungsdaten\Avira
2013-04-04 08:34 . 2013-04-04 08:33	84744	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2013-04-04 08:34 . 2013-04-04 08:33	37352	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2013-04-04 08:34 . 2013-04-04 08:33	135136	----a-w-	c:\windows\system32\drivers\avipbb.sys
2013-04-04 08:34 . 2013-04-04 08:34	--------	d-----w-	c:\programme\Avira
2013-04-04 08:34 . 2013-04-04 08:34	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2013-03-22 09:17 . 2013-02-12 00:32	12928	-c----w-	c:\windows\system32\dllcache\usb8023x.sys
2013-03-13 16:18 . 2013-03-13 16:18	16486616	----a-w-	c:\windows\system32\FlashPlayerInstaller.exe
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-13 16:18 . 2012-10-07 15:21	73432	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-13 16:18 . 2012-10-07 15:21	693976	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-12 00:32 . 2008-04-14 12:00	12928	----a-w-	c:\windows\system32\drivers\usb8023.sys
2013-02-05 19:56 . 2008-04-14 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2013-02-05 19:56 . 2008-04-14 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2013-02-05 19:56 . 2008-04-14 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2013-02-05 05:53 . 2008-04-14 12:00	385024	------w-	c:\windows\system32\html.iec
2013-01-26 03:55 . 2008-04-14 12:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
2013-01-11 10:39 . 2013-02-12 14:43	88576	----a-w-	c:\windows\system32\pdfcmon.dll
2013-01-07 07:24 . 2008-04-14 12:00	2151424	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-01-07 07:24 . 2008-04-14 07:30	2030080	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-04-05 14:15 . 2013-04-05 14:14	263064	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\Corina\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\Corina\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\Corina\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\DropboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2012-11-13 23:32	129272	----a-w-	c:\dokumente und einstellungen\Corina\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-17 8495104]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-18 946352]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2013-04-04 345312]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\Corina\Startmenü\Programme\Autostart\
Dropbox.lnk - c:\dokumente und einstellungen\Corina\Anwendungsdaten\Dropbox\bin\Dropbox.exe [2013-3-12 29106336]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
VPN Client.lnk - c:\windows\Installer\{1CE60928-8325-49A8-8B06-633E48DD2B67}\Icon3E5562ED7.ico [2012-11-16 6144]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hp psc 2000 Series.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 2000 Series.lnk
backup=c:\windows\pss\hp psc 2000 Series.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^hpoddt01.exe.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk
backup=c:\windows\pss\hpoddt01.exe.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
2008-04-14 12:00	110592	----a-w-	c:\windows\system32\bthprops.cpl
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2007-11-17 01:03	8495104	----a-w-	c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVHotkey]
2007-11-17 01:03	86016	----a-w-	c:\windows\system32\nvhotkey.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2007-11-17 01:03	81920	----a-w-	c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2007-11-17 01:03	1626112	----a-w-	c:\windows\system32\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SigmatelSysTrayApp]
2007-05-10 08:22	405504	----a-w-	c:\programme\SigmaTel\C-Major Audio\WDM\stsystra.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Dokumente und Einstellungen\\Corina\\Anwendungsdaten\\Dropbox\\bin\\Dropbox.exe"=
"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Programme\\Cisco Systems\\VPN Client\\vpnclient.exe"=
"c:\\WINDOWS\\system32\\hasplms.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [04.04.2013 10:34 37352]
R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [04.04.2013 10:34 86752]
R2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe  -run --> c:\windows\system32\hasplms.exe  -run [?]
R2 PDF Architect Helper Service;PDF Architect Helper Service;c:\programme\PDF Architect\HelperService.exe [09.01.2013 18:34 1324104]
R2 PDF Architect Service;PDF Architect Service;c:\programme\PDF Architect\ConversionService.exe [09.01.2013 18:36 795208]
S2 MTBService_2.0.0.13;MTB2011 Server (2.0.0.13);"c:\programme\Carl Zeiss\MTB 2011 - 2.0.0.13\MTB Server Console\MTBService.exe" --> c:\programme\Carl Zeiss\MTB 2011 - 2.0.0.13\MTB Server Console\MTBService.exe [?]
S3 CZCanSrv;CZCanSrv;c:\programme\Gemeinsame Dateien\Carl Zeiss\CZCanSrv.exe --> c:\programme\Gemeinsame Dateien\Carl Zeiss\CZCanSrv.exe [?]
.
Inhalt des "geplante Tasks" Ordners
.
2013-04-05 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-10-07 16:18]
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Connection Wizard,ShellNext = hxxp://verbose/
uSearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - about:home
FF - prefs.js: keyword.URL - hxxp://www.google.com/search?rls=org.mozilla:en-US:official&client=firefox-a&q=
FF - prefs.js: network.proxy.type - 0
FF - ExtSQL: 2013-02-12 15:45; FFPDFArchitectConverter@pdfarchitect.com; c:\programme\PDF Architect\FFPDFArchitectExt
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-04-05 16:31
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1872)
c:\dokumente und einstellungen\Corina\Anwendungsdaten\Dropbox\bin\DropboxExt.17.dll
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2013-04-05  16:34:08
ComboFix-quarantined-files.txt  2013-04-05 14:34
.
Vor Suchlauf: 6 Verzeichnis(se), 58.159.722.496 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 58.297.712.640 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - F43B4E0BC71B6FDF4DA43DCCDD085B86
         


Alt 05.04.2013, 16:43   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



JRT - Junkware Removal Tool

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

  • Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
  • Drücke eine beliebige Taste, um das Tool zu starten.
  • Je nach System kann der Scan eine Weile dauern.
  • Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
  • Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.




Im Anschluss:

adwCleaner - Toolbars und ungewollte Start-/Suchseiten entfernen

Downloade Dir bitte AdwCleaner Logo Icon AdwCleaner auf deinen Desktop.
  • Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
  • Starte die AdwCleaner.exe mit einem Doppelklick.
  • Stimme den Nutzungsbedingungen zu.
  • Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
    • "Tracing" Schlüssel löschen
    • Winsock Einstellungen zurücksetzen
    • Proxy Einstellungen zurücksetzen
    • Internet Explorer Richtlinien zurücksetzen
    • Chrome Richtlinien zurücksetzen
    • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
  • Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
  • Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
  • Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).


Danach eine Kontrolle mit OTL bitte:
  • Doppelklick auf die OTL.exe
  • Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
  • Setze oben mittig den Haken bei Scanne alle Benutzer
  • Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
  • Unter Extra Registry, wähle bitte Use SafeList
  • Klicke nun auf Run Scan links oben
  • Wenn der Scan beendet wurde werden 2 Logfiles erstellt
  • Poste die Logfiles in CODE-Tags hier in den Thread.
__________________
--> Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings

Alt 05.04.2013, 17:21   #7
Neutron_1
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Hallo cosinus,

aus Interesse: hast du einen Verursacher ausmachen können?

Beste Grüße

Hier die nächsten Logfiles:

JRT:

Code:
ATTFilter
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 4.8.2 (04.04.2013:1)
OS: Microsoft Windows XP x86
Ran by Corina on 05.04.2013 at 16:47:57,50
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully deleted: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\toolbar\\{ae07101b-46d4-4a98-af68-0333ea26e113} 
Successfully repaired: [Registry Value] hkey_current_user\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\.default\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\s-1-5-18\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\s-1-5-19\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\s-1-5-20\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_users\S-1-5-21-776561741-583907252-1177238915-1003\software\microsoft\internet explorer\searchscopes\\DefaultScope
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{0633ee93-d776-472f-a0ff-e1416b8b2e3a}\\DisplayName
Successfully repaired: [Registry Value] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{0633ee93-d776-472f-a0ff-e1416b8b2e3a}\\URL



~~~ Registry Keys

Successfully deleted: [Registry Key] hkey_current_user\software\microsoft\internet explorer\searchscopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}
Successfully deleted: [Registry Key] hkey_local_machine\software\microsoft\internet explorer\searchscopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}
Successfully deleted: [Registry Key] hkey_classes_root\clsid\{ae07101b-46d4-4a98-af68-0333ea26e113}



~~~ Files

Successfully deleted: [File] C:\WINDOWS\prefetch\APNSTUB.EXE-3B78462D.pf



~~~ Folders

Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\opencandy"
Successfully deleted: [Folder] "C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\pdfforge"





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 05.04.2013 at 16:53:17,90
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
         

AdwCleaner:

Code:
ATTFilter
# AdwCleaner v2.200 - Datei am 05/04/2013 um 16:55:09 erstellt
# Aktualisiert am 02/04/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Corina - CORINA-LAPTOP
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Corina\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****


***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v20.0 (de)

Datei : C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\prefs.js

[OK] Die Datei ist sauber.

*************************

AdwCleaner[R2].txt - [898 octets] - [05/04/2013 16:54:52]
AdwCleaner[S1].txt - [832 octets] - [05/04/2013 16:55:09]

########## EOF - C:\AdwCleaner[S1].txt - [891 octets] ##########
         

OTL:

Code:
ATTFilter
OTL logfile created on: 05.04.2013 17:09:38 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Corina\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1022,11 Mb Total Physical Memory | 377,99 Mb Available Physical Memory | 36,98% Memory free
2,40 Gb Paging File | 1,75 Gb Available in Paging File | 72,87% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,44 Gb Total Space | 54,30 Gb Free Space | 72,94% Space Free | Partition Type: NTFS
 
Computer Name: CORINA-LAPTOP | User Name: Corina | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\Corina\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
PRC - C:\Programme\PDF Architect\ConversionService.exe (pdfforge GbR)
PRC - C:\Programme\PDF Architect\HelperService.exe (pdfforge GbR)
PRC - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
PRC - C:\WINDOWS\system32\hasplms.exe (Aladdin Knowledge Systems Ltd.)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Mozilla Firefox\mozjs.dll ()
MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()
MOD - C:\WINDOWS\system32\vpnapi.dll ()
MOD - C:\WINDOWS\system32\msdmo.dll ()
MOD - C:\WINDOWS\system32\nvshell.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (MTBService_2.0.0.13) -- C:\Programme\Carl Zeiss\MTB 2011 File not found
SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found
SRV - (CZCanSrv) -- C:\Programme\Gemeinsame Dateien\Carl Zeiss\CZCanSrv.exe File not found
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (PDF Architect Service) -- C:\Programme\PDF Architect\ConversionService.exe (pdfforge GbR)
SRV - (PDF Architect Helper Service) -- C:\Programme\PDF Architect\HelperService.exe (pdfforge GbR)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)
SRV - (hasplms) -- C:\WINDOWS\system32\hasplms.exe (Aladdin Knowledge Systems Ltd.)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (guardian2) -- System32\Drivers\oz776.sys File not found
DRV - (Changer) --  File not found
DRV - (catchme) -- C:\DOKUME~1\Corina\LOKALE~1\Temp\catchme.sys File not found
DRV - (ApfiltrService) -- system32\DRIVERS\Apfiltr.sys File not found
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira Operations GmbH & Co. KG)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira Operations GmbH & Co. KG)
DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira Operations GmbH & Co. KG)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (CVPNDRVA) -- C:\WINDOWS\system32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)
DRV - (Tcpip6) -- C:\WINDOWS\system32\drivers\tcpip6.sys (Microsoft Corporation)
DRV - (NETw5x32) -- C:\WINDOWS\system32\drivers\NETw5x32.sys (Intel Corporation)
DRV - (hardlock) -- C:\WINDOWS\system32\drivers\hardlock.sys (Aladdin Knowledge Systems Ltd.)
DRV - (aksfridge) -- C:\WINDOWS\system32\drivers\aksfridge.sys (Aladdin Knowledge Systems Ltd.)
DRV - (DNE) -- C:\WINDOWS\system32\drivers\dne2000.sys (Deterministic Networks, Inc.)
DRV - (vsdatant) -- C:\WINDOWS\system32\vsdatant.sys (Zone Labs, LLC)
DRV - (STHDA) -- C:\WINDOWS\system32\drivers\sthda.sys (SigmaTel, Inc.)
DRV - (CVirtA) -- C:\WINDOWS\system32\drivers\CVirtA.sys (Cisco Systems, Inc.)
DRV - (b57w2k) -- C:\WINDOWS\system32\drivers\b57xp32.sys (Broadcom Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search
 
 
IE - HKU\.DEFAULT\..\SearchScopes,defaultscope = 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,defaultscope = 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,defaultscope = 
 
IE - HKU\S-1-5-20\..\SearchScopes,defaultscope = 
 
IE - HKU\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.bing.com/search?q={searchTerms}
IE - HKU\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
IE - HKU\S-1-5-21-776561741-583907252-1177238915-1003\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-776561741-583907252-1177238915-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-776561741-583907252-1177238915-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-776561741-583907252-1177238915-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.startup.homepage: "about:home"
FF - prefs.js..extensions.enabledAddons: adblockpopups%40jessehakanen.net:0.7
FF - prefs.js..extensions.enabledAddons: %7B73a6fe31-595d-460b-a920-fcc0f8843232%7D:2.6.5.9
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:20.0
FF - prefs.js..keyword.URL: "hxxp://www.google.com/search?rls=org.mozilla:en-US:official&client=firefox-a&q="
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\FFPDFArchitectConverter@pdfarchitect.com: C:\Programme\PDF Architect\FFPDFArchitectExt [2013.02.12 16:44:56 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.04.05 16:15:18 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 20.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins
 
[2012.10.07 15:53:06 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Extensions
[2013.03.30 18:19:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions
[2013.03.03 17:04:03 | 000,134,804 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions\adblockpopups@jessehakanen.net.xpi
[2013.03.30 18:19:32 | 000,531,916 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi
[2013.02.15 13:15:54 | 000,817,280 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2013.02.12 17:01:42 | 000,006,362 | ---- | M] () -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Mozilla\Firefox\Profiles\f90d616o.default\searchplugins\Google.xml
[2013.04.05 16:14:05 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2013.04.05 16:15:18 | 000,263,064 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.09.06 04:07:37 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
 
O1 HOSTS File: ([2008.04.14 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (PDF Architect Helper) - {3A2D5EBA-F86D-4BD3-A177-019765996711} - C:\Programme\PDF Architect\PDFIEHelper.dll (pdfforge GbR)
O3 - HKLM\..\Toolbar: (PDF Architect Toolbar) - {25A3A431-30BB-47C8-AD6A-E1063801134F} - C:\Programme\PDF Architect\PDFIEPlugin.dll (pdfforge GbR)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk = C:\WINDOWS\Installer\{1CE60928-8325-49A8-8B06-633E48DD2B67}\Icon3E5562ED7.ico ()
O4 - Startup: C:\Dokumente und Einstellungen\Corina\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-776561741-583907252-1177238915-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKU\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{00C207BB-4CD0-4CA8-B50C-43094D0E8473}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.10.07 14:26:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.04.05 17:07:21 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Corina\Desktop\OTL.exe
[2013.04.05 16:47:39 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERUNT
[2013.04.05 16:47:32 | 000,000,000 | ---D | C] -- C:\JRT
[2013.04.05 16:46:46 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2013.04.05 16:23:00 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2013.04.05 16:19:17 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013.04.05 16:19:17 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013.04.05 16:19:17 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013.04.05 16:19:17 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013.04.05 16:19:02 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.04.05 16:18:57 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Corina\Startmenü\Programme\Verwaltung
[2013.04.05 16:18:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2013.04.05 16:14:05 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox
[2013.04.04 13:45:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.04.04 13:45:26 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.04.04 13:45:26 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.04.04 12:23:49 | 000,000,000 | ---D | C] -- C:\Programme\Broadcom
[2013.04.04 10:40:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Avira
[2013.04.04 10:34:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2013.04.04 10:34:09 | 000,028,520 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2013.04.04 10:34:05 | 000,135,136 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2013.04.04 10:34:05 | 000,084,744 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2013.04.04 10:34:05 | 000,037,352 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2013.04.04 10:34:04 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2013.04.04 10:34:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2013.04.04 09:55:49 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Corina\Recent
[2013.03.22 11:17:17 | 000,012,928 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\usb8023x.sys
[2013.03.19 18:38:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Corina\Desktop\Arbeitsamt
[2013.03.13 18:18:13 | 016,486,616 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.04.05 17:07:24 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Corina\Desktop\OTL.exe
[2013.04.05 17:06:10 | 000,494,358 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.04.05 17:06:09 | 000,517,804 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.04.05 17:06:09 | 000,101,850 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.04.05 17:06:09 | 000,084,902 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.04.05 17:03:39 | 000,118,678 | ---- | M] () -- C:\WINDOWS\System32\nvModes.001
[2013.04.05 17:02:01 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.04.05 17:01:16 | 000,002,423 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\VPN Client.lnk
[2013.04.05 16:58:43 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.04.05 16:23:11 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2013.04.05 16:16:01 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.04.04 15:19:17 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Corina\defogger_reenable
[2013.04.04 13:54:28 | 000,001,039 | ---- | M] () -- C:\Dokumente und Einstellungen\Corina\Startmenü\Programme\Autostart\Dropbox.lnk
[2013.04.04 13:50:33 | 000,001,033 | ---- | M] () -- C:\Dokumente und Einstellungen\Corina\Desktop\Dropbox.lnk
[2013.04.04 13:45:32 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.04.04 10:34:31 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2013.04.04 10:33:10 | 000,135,136 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2013.04.04 10:33:10 | 000,084,744 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2013.04.04 10:33:10 | 000,037,352 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2013.04.04 10:33:10 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\WINDOWS\System32\drivers\ssmdrv.sys
[2013.03.20 15:44:30 | 000,011,776 | ---- | M] () -- C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.03.20 13:29:06 | 000,411,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Corina\Eigene Dateien\Personalausweis Corina Zimmermann.pdf
[2013.03.13 18:18:19 | 000,693,976 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013.03.13 18:18:19 | 000,073,432 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013.03.13 18:18:14 | 016,486,616 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerInstaller.exe
[2013.03.09 22:17:59 | 000,118,678 | ---- | M] () -- C:\WINDOWS\System32\nvModes.dat
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.04.05 16:23:11 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2013.04.05 16:23:05 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2013.04.05 16:19:17 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2013.04.05 16:19:17 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2013.04.05 16:19:17 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2013.04.05 16:19:17 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2013.04.05 16:19:17 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2013.04.04 15:19:17 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Corina\defogger_reenable
[2013.04.04 13:54:28 | 000,001,039 | ---- | C] () -- C:\Dokumente und Einstellungen\Corina\Startmenü\Programme\Autostart\Dropbox.lnk
[2013.04.04 13:45:32 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.04.04 10:34:31 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2013.03.20 13:29:04 | 000,411,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Corina\Eigene Dateien\Personalausweis Corina Zimmermann.pdf
[2013.02.12 18:32:43 | 000,008,109 | ---- | C] () -- C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\recently-used.xbel
[2012.12.16 20:15:28 | 000,679,750 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-776561741-583907252-1177238915-1003-0.dat
[2012.12.12 15:15:23 | 000,196,318 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2012.10.27 16:49:30 | 000,011,776 | ---- | C] () -- C:\Dokumente und Einstellungen\Corina\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.10.14 11:35:09 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.10.07 16:51:15 | 000,019,554 | ---- | C] () -- C:\WINDOWS\hpoins01.dat
[2012.10.07 16:51:15 | 000,016,606 | ---- | C] () -- C:\WINDOWS\hpomdl01.dat
[2012.10.07 15:28:39 | 000,118,678 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat
[2012.10.07 15:27:20 | 001,626,112 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2012.10.07 15:27:19 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2012.10.07 15:27:19 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2012.10.07 15:27:18 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2012.10.07 15:27:17 | 001,474,560 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2012.10.07 15:27:16 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2012.10.07 15:27:12 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2012.10.07 15:27:10 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2012.10.07 14:42:28 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2012.10.07 14:41:13 | 000,188,200 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.10.07 14:29:26 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2012.10.07 14:23:05 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
 
========== ZeroAccess Check ==========
 
[2012.11.20 21:09:33 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 14:00:00 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 14:00:00 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2013.02.17 19:13:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Carl Zeiss
[2012.12.12 14:46:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Carl Zeiss
[2013.04.05 17:03:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Dropbox
[2013.02.12 16:52:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\PDF Architect
 
========== Purity Check ==========
 
 

< End of report >
         

OTL Extras:

Code:
ATTFilter
OTL Extras logfile created on: 05.04.2013 17:09:38 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Corina\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1022,11 Mb Total Physical Memory | 377,99 Mb Available Physical Memory | 36,98% Memory free
2,40 Gb Paging File | 1,75 Gb Available in Paging File | 72,87% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,44 Gb Total Space | 54,30 Gb Free Space | 72,94% Space Free | Partition Type: NTFS
 
Computer Name: CORINA-LAPTOP | User Name: Corina | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_USERS\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" (VideoLAN)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" (VideoLAN)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Dropbox\bin\Dropbox.exe" = C:\Dokumente und Einstellungen\Corina\Anwendungsdaten\Dropbox\bin\Dropbox.exe:*:Enabled:Dropbox -- (Dropbox, Inc.)
"C:\WINDOWS\Network Diagnostic\xpnetdiag.exe" = C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Disabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\WINDOWS\system32\sessmgr.exe" = C:\WINDOWS\system32\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\Programme\Cisco Systems\VPN Client\vpnclient.exe" = C:\Programme\Cisco Systems\VPN Client\vpnclient.exe:*:Enabled:vpnclient -- ()
"C:\WINDOWS\system32\hasplms.exe" = C:\WINDOWS\system32\hasplms.exe:*:Enabled:HASP LLM -- (Aladdin Knowledge Systems Ltd.)
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{1CE60928-8325-49A8-8B06-633E48DD2B67}" = Cisco Systems VPN Client 5.0.07.0410
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}" = HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber 
"{80A07844-CA64-4DE4-AB61-D37DDBE8074F}" = PDF Architect
"{82CE6B7B-9665-4E29-8CE0-DD993484B38D}" = Intel(R) PROSet/Wireless WiFi-Software
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00B2-0407-0000-0000000FF1CE}" = Microsoft – Speichern als PDF oder XPS – Add-In für 2007 Microsoft Office-Programme
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{93FB47FB-4FDF-4131-B5FD-7A37883868E7}" = hp psc 2170 series
"{9867A917-5D17-40DE-83BA-BEA5293194B1}" = HP Foto- und Bildbearbeitung 2.0 - All-in-One
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A462213D-EED4-42C2-9A60-7BDD4D4B0B17}" = SigmaTel Audio
"{AC76BA86-7AD7-1031-7B44-AB0000000001}" = Adobe Reader XI (11.0.02) - Deutsch
"{B7F54262-AB66-44B3-88BF-9FC69941B643}" = Broadcom Gigabit Integrated Controller
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"ENTERPRISE" = Microsoft Office Enterprise 2007
"HP PSC 2170 Series" = HP Foto und Bildbearbeitung 2.0 - hp psc 2170 series
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Mendeley Desktop" = Mendeley Desktop 1.6
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Mozilla Firefox 20.0 (x86 de)" = Mozilla Firefox 20.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIA Drivers" = NVIDIA Drivers
"ProInst" = Intel PROSet Wireless
"VLC media player" = VLC media player 2.0.4
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-776561741-583907252-1177238915-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Dropbox" = Dropbox
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 30.10.2012 14:27:30 | Computer Name = CORINA-LAPTOP | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 15.11.2012 06:12:51 | Computer Name = CORINA-LAPTOP | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 09.12.2012 11:58:32 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung avnotify.exe, Version 13.4.0.294, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 04.02.2013 06:21:00 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung AcroRd32.exe, Version 10.1.5.33, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 04.02.2013 06:21:44 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich -946333272.
 
Error - 15.02.2013 08:14:15 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.2.4780, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 15.02.2013 08:14:38 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.2.4780, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 15.02.2013 08:14:43 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung firefox.exe, Version 18.0.2.4780, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 21.02.2013 10:36:23 | Computer Name = CORINA-LAPTOP | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung PDF Architect.exe, Version 1.0.52.8917, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 04.04.2013 11:02:02 | Computer Name = CORINA-LAPTOP | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
 geantwortet.
 
Error - 04.04.2013 11:06:35 | Computer Name = CORINA-LAPTOP | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
 geantwortet.
 
Error - 04.04.2013 11:06:50 | Computer Name = CORINA-LAPTOP | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
 geantwortet.
 
Error - 04.04.2013 11:06:59 | Computer Name = CORINA-LAPTOP | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
 geantwortet.
 
Error - 04.04.2013 11:07:06 | Computer Name = CORINA-LAPTOP | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
 geantwortet.
 
Error - 05.04.2013 04:20:19 | Computer Name = CORINA-LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MTB2011 Server (2.0.0.13)" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%2
 
Error - 05.04.2013 05:59:03 | Computer Name = CORINA-LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MTB2011 Server (2.0.0.13)" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%2
 
Error - 05.04.2013 06:53:20 | Computer Name = CORINA-LAPTOP | Source = atapi | ID = 262153
Description = Das Gerät \Device\Ide\IdePort0 hat innerhalb der Fehlerwartezeit nicht
 geantwortet.
 
Error - 05.04.2013 10:04:04 | Computer Name = CORINA-LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MTB2011 Server (2.0.0.13)" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%2
 
Error - 05.04.2013 11:01:25 | Computer Name = CORINA-LAPTOP | Source = Service Control Manager | ID = 7000
Description = Der Dienst "MTB2011 Server (2.0.0.13)" wurde aufgrund folgenden Fehlers
 nicht gestartet:   %%2
 
 
< End of report >
         

Alt 06.04.2013, 03:04   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Sieht ok aus. Wir sollten fast durch sein. Mach bitte zur Kontrolle einen Quickscan mit Malwarebytes - denk bitte vorher daran, Malwarebytes über den Updatebutton zu aktualisieren

Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 06.04.2013, 16:00   #9
Neutron_1
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Hallo cosinus,

puh, das beruhigt mich dann schon mal.

Hier die beiden nächsten Logfiles (keine Funde):

Malwarebytes:

Code:
ATTFilter
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.04.04.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Corina :: CORINA-LAPTOP [Administrator]

04.04.2013 13:46:43
mbam-log-2013-04-04 (13-46-43).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 250498
Laufzeit: 1 Stunde(n), 21 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         

ESET:

Code:
ATTFilter
ESETSmartInstaller@High as downloader log:
all ok
# version=8
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6920
# api_version=3.0.2
# EOSSerial=55220f41cdf24440b19d07750bc9781c
# engine=13563
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=false
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2013-04-06 01:15:14
# local_time=2013-04-06 03:15:14 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1799 16775165 100 97 13817 189946 6358 0
# scanned=40992
# found=0
# cleaned=0
# scan_time=9413
         

Alt 06.04.2013, 18:05   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Sieht soweit ok aus

Wegen Cookies und anderer Dinge im Web: Um die Pest von vornherein zu blocken (also TrackingCookies, Werbebanner etc.) müsstest du dir mal sowas wie MVPS Hosts File anschauen => Blocking Unwanted Parasites with a Hosts File - sinnvollerweise solltest du alle 4 Wochen mal bei MVPS nachsehen, ob er eine neue Hosts Datei herausgebracht hat.

Info: Cookies sind keine Schädlinge direkt, aber es besteht die Gefahr der missbräuchlichen Verwendung (eindeutige Wiedererkennung zB für gezielte Werbung o.ä. => HTTP-Cookie )

Ansonsten gibt es noch gute Cookiemanager, Erweiterungen für den Firefox zB wäre da CookieCuller
Wenn du aber damit leben kannst, dich bei jeder Browsersession überall neu einzuloggen (zB Facebook, Ebay, GMX, oder auch Trojaner-Board) dann stell den Browser einfach so ein, dass einfach alles beim Beenden des Browser inkl. Cookies gelöscht wird.

Ist dein System nun wieder in Ordnung oder gibt's noch andere Funde oder Probleme?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 07.04.2013, 17:24   #11
Neutron_1
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Hallo cosinus,

danke für deine Tips und deine wirklich tolle Hilfe.

Über cookies wusste ich zumindest oberflächlich bescheid, ich habe kurzerhand den Browser wie vorgeschlagen eingestellt, da ich mich ohnehin nie dauerhaft irgendwo eingeloggt habe. Somit ist das für mich die einfachste Lösung, auch deinen Vorschlag mit dem MVPS Hosts File klingt sinnvoll, das habe ich auch direkt mal gemacht.

Beim heutigen Scan meines PCs durch den Virenscanner wurde der versteckte Eintrag leider wieder gefunden. Abgesehen davon hatte ich bislang eben auf dem Rechner keinerlei Virenfunde oder sonstige Probleme.
Gibt es noch eine Möglichkeit herauszufinden was dahinter steckt? Falls nicht habe ich wohl nur die Möglichkeit mich damit zu arrangieren (wenn es kein Sicherhiutsproblem ist), oder das System neu aufzusetzen.

Viele Grüße

Alt 08.04.2013, 00:20   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Vergiss die Meldung von AntiVir, ich denke das Teil ist einfach zu hysterisch.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.04.2013, 12:09   #13
Neutron_1
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Hallo cosinus,

alles klar. Nochmals vielen Dank für deine großartige Hilfe, auch wenn es zum Glück nur ein Fehlalarm gewesen ist!

Viele Grüße

Alt 08.04.2013, 12:42   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Standard

Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings



Dann wären wir durch!

Die Programme, die hier zum Einsatz kamen, können alle wieder runter.

Combofix entfernen (nur relevant wenn es hier benutzt wurde!) : Start/Ausführen (Tastenkombination WIN+R), dort den Befehl combofix /uninstall eintippen und ausführen

Mit Hilfe von OTL kannst du auch viele andere Tools entfernen: Starte dazu einfach OTL und klicke auf Bereinigung.
Dies wird die meisten Tools entfernen, die wir zur Bereinigung benötigt haben. Sollte etwas bestehen bleiben, bitte mit Rechtsklick --> Löschen entfernen.

Malwarebytes zu behalten ist zu empfehlen. Kannst ja 1x im Monat damit einen Vollscan machen, aber immer vorher ans Update denken.


Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit sollte man nach beseitigten Infektionen auch möglichst alle Passwörter ändern.


Microsoftupdate
Windows XP:Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Windows Vista/7: Start, Systemsteuerung, Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers:
Prüfen => Adobe - Flash Player
Downloadlinks findest du hier => Browsers and Plugins - FilePony.de

Alle Plugins im Firefox-Browser kannst du auch ganz einfach hier auf Aktualität prüfen => https://www.mozilla.org/de/plugincheck

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein großes Sicherheitsrisiko, daher solltest Du die alten Versionen deinstallieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software (bzw. Programme und Funktionen) und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings
administrator, adobe, adobe reader xi, antivir, avira, bho, converter, desktop, error, excel, explorer, fehler, firefox, flash player, format, google, malware, mozilla, office 2007, registry, rundll, schädling, security, software, system, temp, trojaner-board, udp, windows internet



Ähnliche Themen: Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings


  1. Schwere Probleme nach Deinstallation von Avira Antivir und dem Aufspielen eines aelteren Backups / Fund bei Malewarebyte: PUP.Optional.Ask.A
    Log-Analyse und Auswertung - 02.08.2015 (14)
  2. Antivir Fund durch Echteitscanner / Scann jedoch ergebnislos
    Log-Analyse und Auswertung - 08.07.2015 (7)
  3. Windows 7: Avira meldet Fund
    Log-Analyse und Auswertung - 13.03.2015 (15)
  4. AVIRA meldet vermehrt Fund: PUA/DownloadSponsor.Gen
    Log-Analyse und Auswertung - 08.03.2015 (9)
  5. AVIRA meldet WORM/Kido.IH.54 nach Einfügen eines USB-Stick
    Plagegeister aller Art und deren Bekämpfung - 03.11.2014 (13)
  6. microsoft essentials update nicht möglich aufgrund eines Schädlings.
    Plagegeister aller Art und deren Bekämpfung - 13.06.2014 (18)
  7. Avira meldet Fund JS/iFrame.EB.361
    Plagegeister aller Art und deren Bekämpfung - 07.03.2014 (13)
  8. Antivir meldet Fund TR/spy.banker.gen
    Log-Analyse und Auswertung - 16.07.2013 (17)
  9. AVIRA meldet ADWARE/Yontoo.Gen Fund
    Log-Analyse und Auswertung - 13.04.2013 (7)
  10. Avira meldet Fund EXP/Java.AM
    Log-Analyse und Auswertung - 23.01.2013 (31)
  11. Avira meldet Fund von EXP/2012-4681.AD
    Log-Analyse und Auswertung - 22.10.2012 (25)
  12. AntiVir meldet Fund: EXP/MS-0513.A
    Plagegeister aller Art und deren Bekämpfung - 20.07.2012 (5)
  13. AntiVir berichtet mir von zwei Trojanern, jedoch bei Malwarebytes Anti-Male kein Fund
    Plagegeister aller Art und deren Bekämpfung - 11.06.2012 (45)
  14. Antivir meldet Fund: DR/Fakepic.Gen
    Plagegeister aller Art und deren Bekämpfung - 09.08.2011 (1)
  15. Avira meldet Fund von TR/Crypt.Xpack.gen
    Plagegeister aller Art und deren Bekämpfung - 28.08.2010 (3)
  16. drivers32/midi9 normal oder Rest eines Schädlings?
    Plagegeister aller Art und deren Bekämpfung - 15.03.2010 (14)
  17. AntiVir meldet den Fund von inject.aed
    Log-Analyse und Auswertung - 22.03.2008 (2)

Zum Thema Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings - Liebes Trojaner-Board Team, glücklicherweise ist dies mein erster Besuch eures Forums. Seit einigen Wochen meldet AntiVir eine Speicherveränderung, jedoch keinen Fund von Malware oder Ähnlichem. Bei Scans im abgesicherten Modus - Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings...
Archiv
Du betrachtest: Avira AntiVir meldet Speicherveränderung, jedoch keinen Fund eines Schädlings auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.