Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 17.04.2013, 14:45   #1
Rocco68
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



Hallo zusammen,

durch einen dummen Fehler (Download eines gefakten Adobe-Flashplayer-Updates) habe ich mir den Online-Banking-Trojaner eingefangen und erhielt die Bestätigung hierüber von der Telekom mittels Brief.

Bisher nutzte ich nur das Antivirenprogramm von Avira. Ich befolgte die "Bereinigungsschritte" der Telekom:
1. Avira-DE-Cleaner botfrei meldete nichts.
2. Malwarebytes wurde fündig:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.04.13.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
USER :: NAME [Administrator]

Schutz: Aktiviert

13.04.2013 17:50:38
mbam-log-2013-04-13 (17-50-38).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 337514
Laufzeit: 2 Stunde(n), 13 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 4
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Client Server Runtime Process (Trojan.Agent) -> Daten: C:\Dokumente und Einstellungen\USER\Anwendungsdaten\System32\csrss.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Host-process Windows (Rundll32.exe) (Trojan.Agent) -> Daten: c:\dokumente und einstellungen\USER\anwendungsdaten\system32\csrss.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Client Server Runtime Process (Trojan.Agent) -> Daten: C:\Dokumente und Einstellungen\USER\Anwendungsdaten\System32\csrss.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Host-process Windows (Rundll32.exe) (Trojan.Agent) -> Daten: c:\dokumente und einstellungen\USER
\anwendungsdaten\system32\csrss.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\USER\Lokale Einstellungen\Temp\7270281.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
         
und

Code:
ATTFilter
2013/04/13 17:48:48 +0200	MESSAGE	Starting protection
2013/04/13 17:48:48 +0200	MESSAGE	Protection started successfully
2013/04/13 17:48:48 +0200	MESSAGE	Starting IP protection
2013/04/13 17:52:49 +0200	MESSAGE	Executing scheduled update:  Daily
2013/04/13 17:53:19 +0200	MESSAGE	Scheduled update executed successfully:  database updated from version v2013.04.13.03 to version v2013.04.13.04
2013/04/13 17:56:25 +0200	MESSAGE	IP Protection started successfully
2013/04/13 17:56:25 +0200	MESSAGE	Starting database refresh
2013/04/13 17:56:25 +0200	MESSAGE	Stopping IP protection
2013/04/13 17:56:28 +0200	MESSAGE	IP Protection stopped successfully
2013/04/13 18:01:59 +0200	MESSAGE	Database refreshed successfully
2013/04/13 18:01:59 +0200	MESSAGE	Starting IP protection
2013/04/13 18:13:14 +0200	MESSAGE	IP Protection started successfully
2013/04/13 18:13:14 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:13:15 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:13:17 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:13:20 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:13:26 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:13:39 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:14:04 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:14:09 +0200	IP-BLOCK	93.190.139.124 (Type: outgoing)
2013/04/13 18:14:55 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:16:35 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:18:35 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:20:35 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:22:35 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:24:35 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:26:35 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 18:28:35 +0200	IP-BLOCK	93.190.139.124 (Type: incoming)
2013/04/13 20:12:46 +0200	MESSAGE	Starting protection
2013/04/13 20:12:46 +0200	MESSAGE	Protection started successfully
2013/04/13 20:12:46 +0200	MESSAGE	Starting IP protection
2013/04/13 20:23:33 +0200	MESSAGE	IP Protection started successfully
         
Die schadhafte Software wurde daraufhin in Quarantäne gesteckt und ein nochmaliger Scan verlief fehlerfrei:

Code:
ATTFilter
 Malwarebytes Anti-Malware  (Test) 1.75.0.1300
www.malwarebytes.org

Datenbank Version: v2013.04.13.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
USER :: NAME [Administrator]

Schutz: Aktiviert

13.04.2013 20:20:51
mbam-log-2013-04-13 (20-20-51).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 337189
Laufzeit: 1 Stunde(n), 52 Minute(n), 54 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
         
Die Folgetage verliefen ebenfalls "fehlerfrei".

Ich bin leider überhaupt kein Experte, aber dennoch mißtrauisch. Da habe ich Euer Forum entdeckt und vieles nachgelesen, was mir bestätigt, daß die Sache noch lange nicht ausgestanden ist. Allerdings bin ich alleine überfordert

Und prompt gestern. Malwarebytes meldete einen Angriff von außen:

Code:
ATTFilter
2013/04/16 07:46:53 +0200	MESSAGE	Starting protection
2013/04/16 07:46:53 +0200	MESSAGE	Protection started successfully
2013/04/16 07:46:53 +0200	MESSAGE	Starting IP protection
2013/04/16 07:56:52 +0200	MESSAGE	IP Protection started successfully
2013/04/16 19:05:19 +0200	IP-BLOCK	212.162.13.230 (Type: outgoing)
2013/04/16 19:05:21 +0200	IP-BLOCK	212.162.13.230 (Type: outgoing)
2013/04/16 19:05:27 +0200	IP-BLOCK	212.162.13.230 (Type: outgoing)
         
Da ich mir jetzt schon gleich gar nix mehr traue, wo man sich einloggen muß (außer bei Euch), habe ich jetzt nach Eueren Anweisungen folgendes gemacht:

1. Download defogger
2. OTL - die Dateien stehen unten
3. Gmer - funktioniert nicht. Trotz Befolgen der Anweisung kommt es kurz nachdem das Gmer-Fensterchen aufgeht zu einem Dump mit dem blauen Bildschirm in Folge.

OTL.txt:
Code:
ATTFilter
OTL logfile created on: 17.04.2013 10:28:11 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Ronowski\Eigene Dateien
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1021,98 Mb Total Physical Memory | 464,89 Mb Available Physical Memory | 45,49% Memory free
2,40 Gb Paging File | 1,60 Gb Available in Paging File | 66,67% Paging File free
Paging file location(s): c:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 93,16 Gb Total Space | 64,16 Gb Free Space | 68,87% Space Free | Partition Type: NTFS
 
Computer Name: NAME | User Name: USER | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.04.17 09:31:50 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\\Eigene Dateien\OTL.exe
PRC - [2013.04.04 14:50:32 | 000,701,512 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2013.04.04 14:50:32 | 000,532,040 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
PRC - [2013.04.04 14:50:32 | 000,418,376 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2013.02.23 20:16:58 | 001,297,728 | ---- | M] (Spigot, Inc.) -- C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe
PRC - [2013.02.23 17:54:28 | 000,805,752 | ---- | M] (Spigot, Inc.) -- C:\Programme\Application Updater\ApplicationUpdater.exe
PRC - [2013.02.04 18:21:34 | 001,513,536 | ---- | M] (1und1 Mail und Media GmbH) -- C:\Programme\WEB.DE MailCheck\IE\WEB.DE_MailCheck_Broker.exe
PRC - [2012.08.08 10:04:00 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.07.17 13:17:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.07.17 13:17:01 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe
PRC - [2012.07.17 13:17:00 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.07.17 13:16:54 | 000,375,760 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe
PRC - [2012.07.17 13:16:53 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.08.11 17:45:09 | 000,102,400 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe
PRC - [2010.01.27 17:14:49 | 000,198,160 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
PRC - [2009.03.31 09:39:36 | 000,233,472 | ---- | M] (Teruten) -- C:\WINDOWS\system32\FsUsbExService.Exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.04.07 09:17:30 | 000,430,592 | ---- | M] (Nokia.) -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe
PRC - [2008.03.10 09:58:18 | 000,130,560 | ---- | M] () -- C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
PRC - [2008.02.22 09:11:02 | 000,120,320 | ---- | M] () -- C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
PRC - [2007.07.30 16:20:12 | 000,067,128 | ---- | M] (Logitech Inc.) -- C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
PRC - [2007.05.11 04:06:38 | 000,341,616 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
PRC - [2007.03.16 11:45:30 | 000,063,712 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
PRC - [2007.01.09 17:16:12 | 000,061,440 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
PRC - [2006.08.25 13:47:12 | 000,356,352 | ---- | M] (TOSHIBA) -- C:\Programme\TOSHIBA\TOSHIBA Applet\THotkey.exe
PRC - [2006.06.26 11:33:42 | 000,099,888 | ---- | M] (Logitech Inc.) -- c:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcSrv.exe
PRC - [2006.02.07 16:30:40 | 000,035,840 | ---- | M] (TOSHIBA Corp.) -- C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
PRC - [2006.01.02 16:41:22 | 000,045,056 | ---- | M] (ATI Technologies Inc.) -- C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
PRC - [2005.07.26 04:00:55 | 000,876,032 | ---- | M] (Nero AG) -- C:\Programme\Ahead\InCD\InCDsrv.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.01.09 14:17:11 | 003,391,488 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\mscorlib\1.0.5000.0__b77a5c561934e089_3010e08e\mscorlib.dll
MOD - [2013.01.09 14:17:08 | 000,843,776 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system.drawing\1.0.5000.0__b03f5f7f11d50a3a_a30bba70\system.drawing.dll
MOD - [2013.01.09 14:16:58 | 002,088,960 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system.xml\1.0.5000.0__b77a5c561934e089_27553a58\system.xml.dll
MOD - [2013.01.09 14:16:52 | 003,035,136 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system.windows.forms\1.0.5000.0__b77a5c561934e089_dc21d8d4\system.windows.forms.dll
MOD - [2013.01.09 14:16:36 | 001,966,080 | ---- | M] () -- c:\windows\assembly\nativeimages1_v1.1.4322\system\1.0.5000.0__b77a5c561934e089_e6faaf8e\system.dll
MOD - [2013.01.09 14:16:16 | 001,232,896 | ---- | M] () -- c:\windows\assembly\gac\system\1.0.5000.0__b77a5c561934e089\system.dll
MOD - [2013.01.09 14:16:15 | 001,269,760 | ---- | M] () -- c:\windows\assembly\gac\system.web\1.0.5000.0__b03f5f7f11d50a3a\system.web.dll
MOD - [2013.01.09 14:16:14 | 000,471,040 | ---- | M] () -- c:\windows\assembly\gac\system.drawing\1.0.5000.0__b03f5f7f11d50a3a\system.drawing.dll
MOD - [2013.01.09 14:16:11 | 002,064,384 | ---- | M] () -- c:\windows\assembly\gac\system.windows.forms\1.0.5000.0__b77a5c561934e089\system.windows.forms.dll
MOD - [2012.07.17 13:17:32 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2009.04.01 18:10:11 | 000,233,472 | ---- | M] () -- c:\windows\assembly\gac\mscorlib.resources\1.0.5000.0_de_b77a5c561934e089\mscorlib.resources.dll
MOD - [2009.04.01 18:10:11 | 000,180,224 | ---- | M] () -- c:\windows\assembly\gac\system.windows.forms.resources\1.0.5000.0_de_b77a5c561934e089\system.windows.forms.resources.dll
MOD - [2008.04.14 04:22:16 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll
MOD - [2008.03.10 09:58:18 | 000,130,560 | ---- | M] () -- C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
MOD - [2008.02.22 09:11:02 | 000,120,320 | ---- | M] () -- C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
MOD - [2008.01.11 22:49:24 | 000,098,304 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\Escript.deu
MOD - [2007.12.02 20:50:21 | 001,339,392 | ---- | M] () -- c:\windows\assembly\gac\system.xml\1.0.5000.0__b77a5c561934e089\system.xml.dll
MOD - [2007.12.02 20:50:21 | 000,372,736 | ---- | M] () -- c:\windows\assembly\gac\system.management\1.0.5000.0__b03f5f7f11d50a3a\system.management.dll
MOD - [2007.12.02 20:50:20 | 000,323,584 | ---- | M] () -- c:\windows\assembly\gac\system.runtime.remoting\1.0.5000.0__b77a5c561934e089\system.runtime.remoting.dll
MOD - [2007.08.21 13:32:44 | 000,098,304 | ---- | M] () -- C:\WINDOWS\system32\redmonnt.dll
MOD - [2007.07.30 16:13:20 | 000,061,496 | ---- | M] () -- C:\Programme\Logitech\Desktop Messenger\8876480\8.1.1.50-8876480SL\Program\clntutil.dll
MOD - [2007.05.11 04:08:40 | 003,076,096 | ---- | M] () -- c:\Programme\Adobe\Reader 8.0\Reader\RdLang32.DEU
MOD - [2007.05.11 03:55:44 | 000,053,248 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\Weblink.DEU
MOD - [2007.05.11 03:54:28 | 000,036,864 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\Spelling.DEU
MOD - [2007.05.11 03:54:20 | 000,026,112 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\SendMail.deu
MOD - [2007.05.11 03:54:02 | 000,053,248 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\Search.DEU
MOD - [2007.05.11 03:53:52 | 000,974,848 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\PPKLITE.DEU
MOD - [2007.05.11 03:53:32 | 000,028,672 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\SaveAsRTF.DEU
MOD - [2007.05.11 03:53:22 | 000,013,312 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\ReadOutLoud.DEU
MOD - [2007.05.11 03:52:58 | 000,159,744 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\Multimedia.DEU
MOD - [2007.05.11 03:52:54 | 000,086,016 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\makeaccessible.DEU
MOD - [2007.05.11 03:52:02 | 000,006,656 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\EWH32.DEU
MOD - [2007.05.11 03:51:42 | 000,221,184 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\DigSig.DEU
MOD - [2007.05.11 03:51:38 | 001,224,704 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\Annots.DEU
MOD - [2007.05.11 03:51:24 | 000,192,512 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\Checkers.DEU
MOD - [2007.05.11 03:50:30 | 000,811,008 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\Acroform.DEU
MOD - [2007.05.11 03:50:04 | 000,077,824 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\accessibility.DEU
MOD - [2007.01.13 04:01:28 | 000,475,136 | R--- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\ccme_base.dll
MOD - [2007.01.13 04:01:28 | 000,397,312 | R--- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\cryptocme2.dll
MOD - [2006.10.23 02:34:44 | 000,005,120 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\updater.DEU
MOD - [2006.10.23 02:33:38 | 000,012,288 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\Search5.DEU
MOD - [2006.10.23 02:33:02 | 000,008,192 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\reflow.DEU
MOD - [2006.10.23 02:32:30 | 000,011,264 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\pddom.DEU
MOD - [2006.10.23 02:31:30 | 000,013,312 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\Hls.deu
MOD - [2006.10.23 02:30:32 | 000,028,672 | ---- | M] () -- C:\Programme\Adobe\Reader 8.0\Reader\plug_ins\eBook.DEU
MOD - [2006.01.04 18:14:36 | 000,049,152 | ---- | M] () -- C:\Programme\TOSHIBA\TOSHIBA Applet\TouchPad_ONOFF.dll
MOD - [2005.10.19 09:17:58 | 000,073,728 | ---- | M] () -- C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] -- %SystemRoot%\System32\hidserv.dll -- (HidServ)
SRV - [2013.04.13 17:35:25 | 000,256,904 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.04.04 14:50:32 | 000,701,512 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2013.04.04 14:50:32 | 000,418,376 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2013.02.23 17:54:28 | 000,805,752 | ---- | M] (Spigot, Inc.) [Auto | Running] -- C:\Programme\Application Updater\ApplicationUpdater.exe -- (Application Updater)
SRV - [2012.07.17 13:17:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.07.17 13:17:01 | 000,465,360 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe -- (AntiVirWebService)
SRV - [2012.07.17 13:16:54 | 000,375,760 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2012.07.17 13:16:53 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.07.13 13:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.06.01 17:37:22 | 000,113,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2009.03.31 09:39:36 | 000,233,472 | ---- | M] (Teruten) [Auto | Running] -- C:\WINDOWS\system32\FsUsbExService.Exe -- (FsUsbExService)
SRV - [2008.04.07 09:17:30 | 000,430,592 | ---- | M] (Nokia.) [On_Demand | Running] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2007.01.09 17:16:12 | 000,061,440 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe -- (MZCCntrl)
SRV - [2006.06.26 11:33:56 | 000,091,696 | ---- | M] (Logitech Inc.) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\srvlnch.exe -- (LVSrvLauncher)
SRV - [2006.06.26 11:33:42 | 000,099,888 | ---- | M] (Logitech Inc.) [Auto | Running] -- c:\Programme\Gemeinsame Dateien\Logitech\LVMVFM\LVPrcSrv.exe -- (LVPrcSrv)
SRV - [2006.02.07 16:30:40 | 000,035,840 | ---- | M] (TOSHIBA Corp.) [Auto | Running] -- C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe -- (TAPPSRV)
SRV - [2005.07.26 04:00:55 | 000,876,032 | ---- | M] (Nero AG) [Auto | Running] -- C:\Programme\Ahead\InCD\InCDsrv.exe -- (InCDsrvR)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2013.04.04 14:50:32 | 000,022,856 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2012.07.17 13:17:47 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2012.07.17 13:17:46 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.07.17 13:17:46 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.07.17 13:17:46 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2009.03.31 09:39:36 | 000,036,608 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\FsUsbExDisk.Sys -- (FsUsbExDisk)
DRV - [2009.03.20 10:01:26 | 000,121,856 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_bmdm.sys -- (ss_bmdm)
DRV - [2009.03.20 10:01:26 | 000,090,112 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_bbus.sys -- (ss_bbus)
DRV - [2009.03.20 10:01:26 | 000,014,976 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ss_bmdfl.sys -- (ss_bmdfl)
DRV - [2008.04.13 20:53:09 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2007.09.17 15:53:26 | 000,021,632 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2007.03.30 08:41:08 | 001,428,096 | ---- | M] (Intel® Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\w39n51.sys -- (w39n51)
DRV - [2006.10.04 09:14:26 | 000,017,280 | ---- | M] (Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MAcNdis5.sys -- (MACNDIS5)
DRV - [2006.08.29 21:09:12 | 001,723,904 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2006.06.26 11:33:40 | 000,023,472 | ---- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LVPr2Mon.sys -- (LVPr2Mon)
DRV - [2006.06.26 11:33:36 | 001,952,816 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LVMVdrv.sys -- (LVMVDrv)
DRV - [2006.06.26 11:33:28 | 001,587,632 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Lvckap.sys -- (LVcKap)
DRV - [2006.06.23 00:29:46 | 000,038,960 | R--- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LVUSBSta.sys -- (LVUSBSta)
DRV - [2006.06.23 00:29:28 | 000,720,176 | R--- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LV302AV.SYS -- (PID_08A0)
DRV - [2006.06.23 00:29:27 | 000,012,080 | R--- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\lv302af.sys -- (pepifilter)
DRV - [2005.12.10 01:48:40 | 004,123,136 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys -- (IntcAzAudAddService)
DRV - [2005.11.15 18:00:22 | 001,122,656 | R--- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2005.10.20 14:03:42 | 000,006,144 | ---- | M] (Toshiba Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\NBSMI.sys -- (TVALD)
DRV - [2005.07.26 03:52:59 | 000,028,672 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\InCDrm.sys -- (incdrm)
DRV - [2005.07.25 10:53:30 | 000,008,704 | ---- | M] (Nero AG) [Recognizer | System | Unknown] -- C:\WINDOWS\System32\drivers\InCDrec.sys -- (InCDrec)
DRV - [2005.07.25 10:53:28 | 000,101,504 | ---- | M] (Nero AG) [File_System | Disabled | Running] -- C:\WINDOWS\System32\drivers\InCDfs.sys -- (InCDfs)
DRV - [2005.07.25 10:53:04 | 000,029,696 | ---- | M] (Nero AG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\InCDpass.sys -- (InCDPass)
DRV - [2005.07.25 04:04:08 | 000,048,640 | R--- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl)
DRV - [2005.03.10 13:09:02 | 000,024,704 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LHidKE.Sys -- (LHidKe)
DRV - [2005.03.10 13:08:56 | 000,069,504 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouKE.Sys -- (LMouKE)
DRV - [2005.03.10 13:08:34 | 000,036,480 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LHidUsbK.sys -- (LHidUsbK)
DRV - [2005.03.10 13:08:26 | 000,053,632 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\L8042mou.Sys -- (L8042mou)
DRV - [2005.03.10 13:08:16 | 000,013,056 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\L8042Kbd.SYS -- (L8042Kbd)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=4cf6f9d8000000000000001302249b07&tlver=1.4.19.19&affID=17160
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKCU\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\7.0\pdfforgeToolbarIE.dll (Spigot, Inc.)
IE - HKCU\..\SearchScopes,DefaultScope = {FED19346-B4A3-4FA1-9A00-5AB4A0261C4F}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{14B25978-51A6-4E76-86CC-DA3AD33EFFB0}: "URL" = hxxp://go.web.de/suchbox/ie_amazon/?keywords={searchTerms}
IE - HKCU\..\SearchScopes\{1F096B29-E9DA-4D64-8D63-936BE7762CC5}: "URL" = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=4cf6f9d8000000000000001302249b07&tlver=1.4.19.19&affID=17160
IE - HKCU\..\SearchScopes\{24D9A7E0-2088-4A30-9842-CB8CCEB5D48B}: "URL" = hxxp://search.gmx.com/web?q={searchTerms}&origin=tb_splugin_ie
IE - HKCU\..\SearchScopes\{299067B2-51E1-42F9-A78F-C974F751CDCD}: "URL" = hxxp://de.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=827316&p={searchTerms}
IE - HKCU\..\SearchScopes\{2CAE6532-7BB6-48DA-8104-EED06B7BB9DF}: "URL" = hxxp://wa.ui-portal.de/webde/webde/s?produkte.browser.link.ebaysuche&s_brand=webde&t_link=ebaysuche&ns_type=clickin&ns_url=hxxp://rover.ebay.com/rover/1/707-52222-30040-5/4?mpre=hxxp://shop.ebay.de/?_sacat=See-All-Categories&_nkw={searchTerms}
IE - HKCU\..\SearchScopes\{41DA96BE-6C29-42A3-9CCE-7A9794A8734C}: "URL" = hxxp://go.web.de/suchbox/amazon/?keywords={searchTerms}
IE - HKCU\..\SearchScopes\{7A90F879-6585-44F7-BD43-EF7CE8FF1A26}: "URL" = hxxp://wa.ui-portal.de/webde/webde/s?produkte.browser.link.ebaysuche&s_brand=webde&t_link=ebaysuche&ns_type=clickin&ns_url=hxxp://rover.ebay.com/rover/1/707-52222-30040-5/4?mpre=hxxp://shop.ebay.de/?_sacat=See-All-Categories&_nkw={searchTe
IE - HKCU\..\SearchScopes\{8963D2BA-7967-4A2E-AED4-CC141041B85C}: "URL" = hxxp://go.gmx.net/tb/ie_searchplugin/?su={searchTerms}
IE - HKCU\..\SearchScopes\{B775BAC0-B50F-42EE-BE72-4AE8A9955C2E}: "URL" = hxxp://go.1und1.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKCU\..\SearchScopes\{FED19346-B4A3-4FA1-9A00-5AB4A0261C4F}: "URL" = hxxp://go.web.de/tb/ie_searchplugin/?su={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
========== FireFox ==========
 
FF - prefs.js..browser.search.param.yahoo-fr: "chr-greentree_ff&type=827316&ilc=12"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledAddons: toolbar@web.de:2.1.4
FF - prefs.js..extensions.enabledAddons: wtxpcom@mybrowserbar.com:6.2
FF - prefs.js..extensions.enabledAddons: pdfforge@mybrowserbar.com:6.2
FF - prefs.js..extensions.enabledItems: smartwebprinting@hp.com:4.5
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa2,version=2.0.0: C:\Programme\Picasa2\npPicasa2.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\5.1.20125.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.450: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.3.448: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{3112ca9c-de6d-4884-a869-9855de68056c}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c} [2009.01.21 17:28:30 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Programme\Real\RealPlayer\browserrecord\firefox\ext
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.03.25 12:11:02 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.06.29 19:06:15 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 13.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.06.29 19:04:52 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\smartwebprinting@hp.com: C:\Programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2010.03.25 12:11:02 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Thunderbird\Extensions\\{528bcd12-8e45-4595-96dd-c92c3989c536}: C:\Programme\WEB.DE\WEB.DE MultiMessenger\ThunderbirdSyncProxy [2008.09.27 16:26:13 | 000,000,000 | ---D | M]
 
[2010.06.17 08:35:37 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Extensions
[2013.03.06 19:04:35 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\ekenqd92.default\extensions
[2012.09.19 09:58:26 | 000,000,000 | ---D | M] (Babylon) -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\ekenqd92.default\extensions\ffxtlbr@babylon.com
[2012.09.19 09:58:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\ekenqd92.default\extensions\staged
[2012.06.29 19:11:22 | 000,572,017 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\ekenqd92.default\extensions\toolbar@web.de.xpi
[2012.06.29 19:11:23 | 000,020,591 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\ekenqd92.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}.xpi
[2012.09.19 09:57:47 | 000,518,756 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Mozilla\Firefox\Profiles\ekenqd92.default\extensions\staged\toolbar@web.de.xpi
[2012.06.29 19:05:51 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2008.05.16 20:58:49 | 000,000,000 | ---D | M] (Google Toolbar for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{3112ca9c-de6d-4884-a869-9855de68056c}
[2012.04.30 10:10:10 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2008.05.16 20:58:49 | 000,000,000 | ---D | M] (Google Settings) -- C:\Programme\Mozilla Firefox\extensions\google-gzfb@partners.mozilla.com
[2012.06.29 19:05:52 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\distribution\extensions
[2012.06.29 19:05:52 | 000,000,000 | ---D | M] (WEB.DE MailCheck) -- C:\Programme\Mozilla Firefox\distribution\extensions\toolbar@web.de
File not found (No name found) -- C:\PROGRAMME\GEMEINSAME DATEIEN\SPIGOT\WTXPCOM
[2013.03.06 19:04:35 | 000,000,000 | ---D | M] (pdfforge Toolbar) -- C:\PROGRAMME\PDFFORGE TOOLBAR\FF
[2012.06.01 17:38:43 | 000,085,472 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.06.01 18:33:00 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.07.08 19:25:22 | 000,002,423 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\babylon.xml
[2012.06.01 18:33:00 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.06.01 18:33:00 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.06.01 18:33:00 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.06.01 18:33:00 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.06.01 18:33:00 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - homepage: hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=4cf6f9d8000000000000001302249b07&tlver=1.4.19.19&affID=17160
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: hxxp://search.babylon.com/?babsrc=HP_ss&mntrId=4cf6f9d8000000000000001302249b07&tlver=1.4.19.19&affID=17160
CHR - plugin: Shockwave Flash (Enabled) = C:\Programme\Google\Chrome\Application\20.0.1132.47\gcswf32.dll
CHR - plugin: Silverlight Plug-In (Enabled) = c:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll
CHR - plugin: RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32-bit)  (Enabled) = C:\Programme\Mozilla Firefox\plugins\nppl3260.dll
CHR - plugin: RealPlayer Version Plugin (Enabled) = C:\Programme\Mozilla Firefox\plugins\nprpjplug.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll
CHR - plugin: Microsoft Office 2003 (Enabled) = C:\Programme\Mozilla Firefox\plugins\NPOFFICE.DLL
CHR - plugin: Chrome NaCl (Enabled) = C:\Programme\Google\Chrome\Application\20.0.1132.47\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Programme\Google\Chrome\Application\20.0.1132.47\pdf.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Programme\Adobe\Reader 8.0\Reader\Browser\nppdf32.dll
CHR - plugin: RealJukebox NS Plugin (Enabled) = C:\Programme\Mozilla Firefox\plugins\nprjplug.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Programme\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.57\npGoogleUpdate3.dll
CHR - plugin: Picasa (Enabled) = C:\Programme\Picasa2\npPicasa2.dll
CHR - plugin: Windows Presentation Foundation (Enabled) = c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
CHR - Extension: YouTube = C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: YouTube = C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2_0\
CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: Skype Click to Call = C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\lifbcibllhkdhoafpjfnlhfpfgnpldfl\5.9.0.9216_0\
CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
 
O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll File not found
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\7.0\pdfforgeToolbarIE.dll (Spigot, Inc.)
O2 - BHO: (WEB.DE MailCheck BHO) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Programme\WEB.DE MailCheck\IE\WEB.DE_MailCheck.dll (1und1 Mail und Media GmbH)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarTlbr.dll File not found
O3 - HKLM\..\Toolbar: (pdfforge Toolbar) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Programme\pdfforge Toolbar\IE\7.0\pdfforgeToolbarIE.dll (Spigot, Inc.)
O3 - HKLM\..\Toolbar: (WEB.DE MailCheck) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE MailCheck\IE\WEB.DE_MailCheck.dll (1und1 Mail und Media GmbH)
O3 - HKCU\..\Toolbar\WebBrowser: (WEB.DE MailCheck) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Programme\WEB.DE MailCheck\IE\WEB.DE_MailCheck.dll (1und1 Mail und Media GmbH)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Adobe Photo Downloader] C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [ATICCC] C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe ()
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [BabylonToolbar] "C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe" /md I File not found
O4 - HKLM..\Run: [Logitech Hardware Abstraction Layer] C:\WINDOWS\KHALMNPR.Exe (Logitech Inc.)
O4 - HKLM..\Run: [MailCheck IE Broker] C:\Programme\WEB.DE MailCheck\IE\WEB.DE_MailCheck_Broker.exe (1und1 Mail und Media GmbH)
O4 - HKLM..\Run: [NPSStartup]  File not found
O4 - HKLM..\Run: [SearchSettings] C:\Programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe (Spigot, Inc.)
O4 - HKLM..\Run: [THotkey] C:\Programme\TOSHIBA\TOSHIBA Applet\THotkey.exe (TOSHIBA)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKCU..\Run: [{084860E7-8888-AD7B-4AFD-B2535A2B9141}] "C:\Dokumente und Einstellungen\\Anwendungsdaten\Caowyr\kivawe.exe" File not found
O4 - HKCU..\Run: [1und1Dispatcher] C:\Programme\1und1Softwareaktualisierung\SchedDispatcher.exe (1&1 Mail & Media GmbH)
O4 - HKCU..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKCU..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe (Logitech Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html File not found
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll File not found
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found
O9 - Extra 'Tools' menuitem : Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://javadl-esd.sun.com/update/1.6.0/jinstall-6u1-windows-i586-jc.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{67C3EAA4-BA54-4CE3-B006-3CF9F8A13C3A}: DhcpNameServer = 192.168.2.1 192.168.2.1
O18 - Protocol\Handler\bwfile-8876480 {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll (Logitech Inc.)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Handler\webde {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - C:\Programme\WEB.DE MailCheck\IE\WEB.DE_MailCheck.dll (1und1 Mail und Media GmbH)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\AtiExtEvent: DllName - (Ati2evxx.dll) - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007.03.29 12:32:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{6898cba8-7f3b-11dd-bc20-00a0d13889ae}\Shell\AutoRun\command - "" = E:\StartPortableApps.exe
O33 - MountPoints2\{8cfd23de-69be-11dc-ba99-00a0d13889ae}\Shell\AutoRun\command - "" = E:\setupSNK.exe
O33 - MountPoints2\{d6c7550f-3bac-11de-bc9c-00a0d13889ae}\Shell\AuTOPlAy\coMmand - "" = mudf.pif
O33 - MountPoints2\{d6c7550f-3bac-11de-bc9c-00a0d13889ae}\Shell\AutoRun\command - "" = mudf.pif
O33 - MountPoints2\{d6c7550f-3bac-11de-bc9c-00a0d13889ae}\Shell\exPlOrE\COmmAnd - "" = mudf.pif
O33 - MountPoints2\{d6c7550f-3bac-11de-bc9c-00a0d13889ae}\Shell\Open\coMmand - "" = mudf.pif
O33 - MountPoints2\{f417837a-5470-11df-be54-00a0d13889ae}\Shell\AutoRun\command - "" = E:\setupSNK.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.04.17 09:31:44 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\\Eigene Dateien\OTL.exe
[2013.04.13 17:47:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.04.13 17:47:50 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.04.13 17:47:50 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.04.12 19:02:11 | 000,000,000 | RHSD | C] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\System32
[2013.03.27 18:08:08 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Earth
[2013.03.20 13:10:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\\Eigene Dateien\My NPS Files
[2013.03.20 13:05:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\\Eigene Dateien\NPS
[2013.03.20 13:04:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\\Eigene Dateien\My Art
[2013.03.20 13:04:19 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\\Eigene Dateien\Eigene Videos
[2013.03.19 15:01:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\\Eigene Dateien\Updater5
[2012.03.08 09:49:42 | 018,590,304 | ---- | C] (pdfforge GbR) -- C:\Programme\PDFCreator-1_2_3_setup.exe
[2007.10.28 13:14:17 | 023,876,904 | ---- | C] (Skype Technologies S.A.) -- C:\Programme\SkypeSetup.exe
[21 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
[10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.04.17 10:15:07 | 000,000,578 | ---- | M] () -- C:\Dokumente und Einstellungen\\Desktop\Defogger.exe.lnk
[2013.04.17 10:13:27 | 000,000,608 | ---- | M] () -- C:\Dokumente und Einstellungen\\Desktop\gmer_2.1.19163.exe.lnk
[2013.04.17 10:12:18 | 000,377,856 | ---- | M] () -- C:\Dokumente und Einstellungen\\Eigene Dateien\gmer_2.1.19163.exe
[2013.04.17 10:09:19 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\defogger_reenable
[2013.04.17 10:08:57 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\\Eigene Dateien\Defogger.exe
[2013.04.17 10:04:14 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013.04.17 09:44:02 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.04.17 09:39:07 | 000,000,547 | ---- | M] () -- C:\Dokumente und Einstellungen\\Desktop\OTL.exe.lnk
[2013.04.17 09:31:50 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\\Eigene Dateien\OTL.exe
[2013.04.17 08:57:56 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.04.17 08:56:31 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013.04.17 08:56:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.04.13 17:47:55 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.04.13 14:11:08 | 000,001,904 | ---- | M] () -- C:\Dokumente und Einstellungen\\Desktop\Entfernen des Avira DE-Cleaners.lnk
[2013.04.13 14:11:08 | 000,001,833 | ---- | M] () -- C:\Dokumente und Einstellungen\\Desktop\Avira DE-Cleaner.lnk
[2013.04.10 12:06:32 | 000,193,776 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.04.10 11:59:03 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013.04.04 14:50:32 | 000,022,856 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.03.31 14:50:09 | 000,546,458 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.03.31 14:50:09 | 000,497,686 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.03.31 14:50:09 | 000,085,788 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.03.31 14:50:08 | 000,112,472 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.03.19 15:05:16 | 000,000,151 | ---- | M] () -- C:\WINDOWS\PhotoSnapViewer.INI
[21 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
[10 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.04.17 10:14:53 | 000,000,578 | ---- | C] () -- C:\Dokumente und Einstellungen\\Desktop\Defogger.exe.lnk
[2013.04.17 10:12:47 | 000,000,608 | ---- | C] () -- C:\Dokumente und Einstellungen\\Desktop\gmer_2.1.19163.exe.lnk
[2013.04.17 10:12:18 | 000,377,856 | ---- | C] () -- C:\Dokumente und Einstellungen\\Eigene Dateien\gmer_2.1.19163.exe
[2013.04.17 10:09:19 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\\defogger_reenable
[2013.04.17 10:07:57 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\\Eigene Dateien\Defogger.exe
[2013.04.17 09:38:15 | 000,000,547 | ---- | C] () -- C:\Dokumente und Einstellungen\\Desktop\OTL.exe.lnk
[2013.04.13 17:47:55 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.04.13 14:11:08 | 000,001,904 | ---- | C] () -- C:\Dokumente und Einstellungen\\Desktop\Entfernen des Avira DE-Cleaners.lnk
[2013.04.13 14:11:07 | 000,001,833 | ---- | C] () -- C:\Dokumente und Einstellungen\\Desktop\Avira DE-Cleaner.lnk
[2012.02.15 08:30:23 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.12.26 11:09:55 | 000,000,000 | ---- | C] () -- C:\Programme\WEB.DE_Toolbar_IE_Setup.exe
[2011.08.11 17:32:03 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDevice.Dll
[2011.08.11 17:32:03 | 000,036,608 | ---- | C] () -- C:\WINDOWS\System32\FsUsbExDisk.Sys
[2011.08.11 17:31:30 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\\Anwendungsdaten\$_hpcst$.hpc
[2011.07.18 07:51:49 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\imwords.dat
[2011.07.18 07:51:49 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\imblacklist.dat
[2011.07.18 07:51:49 | 000,000,000 | ---- | C] () -- C:\WINDOWS\System32\im_markovian.dat
[2011.07.12 11:22:52 | 001,034,435 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\bdinstall.bin
[2011.07.08 18:59:16 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2008.04.21 11:05:38 | 000,000,032 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
[2007.06.10 22:42:06 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.04.14 23:14:01 | 000,009,728 | ---- | C] () -- C:\Dokumente und Einstellungen\\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2007.06.10 22:33:42 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 04:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 04:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2013.02.09 13:56:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\1&1 Mail & Media GmbH
[2012.10.08 11:45:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DesktopIcons
[2010.11.10 18:20:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
[2011.08.11 18:06:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2009.04.01 18:07:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2008.09.11 09:48:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2013.02.09 13:56:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UUdb
[2008.09.27 16:26:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEB.DE
[2011.11.22 11:52:53 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{32364CEA-7855-4A3C-B674-53D8E9B97936}
[2010.12.08 11:06:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{ADB71EBD-4C57-4903-90E9-7E54A3106B7C}
[2010.12.08 11:08:23 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{F3DEEB92-FBD8-4F2C-9EC9-25D8A125202A}
[2013.02.09 13:56:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\1&1 Mail & Media GmbH
[2007.09.03 13:27:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\ABC of Pics
[2011.07.09 18:15:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\BabylonToolbar
[2013.04.10 12:00:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Caowyr
[2007.09.23 13:26:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Leadertech
[2011.08.07 21:18:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Notepad++
[2011.08.11 18:06:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\PC Suite
[2012.09.19 09:55:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\pdfforge
[2011.07.12 11:40:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\QuickScan
[2011.08.11 17:31:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Samsung
[2013.03.06 19:04:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Search Settings
[2013.04.13 18:04:41 | 000,000,000 | RHSD | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\System32
[2009.04.01 18:09:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\T-Online
[2009.08.09 22:12:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Thunderbird
[2008.09.27 16:26:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\WEB.DE
[2010.10.15 18:07:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Windows Desktop Search
[2010.10.15 18:39:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\Windows Search
[2012.09.19 09:55:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\\Anwendungsdaten\wtxpcom
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:DFC5A2B2
@Alternate Data Stream - 10 bytes -> C:\Programme\PDFCreator-1_2_3_setup.exe:BDU

< End of report >
         
und EXTRAS.txt

Code:
ATTFilter
OTL Extras logfile created on: 17.04.2013 10:28:11 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Ronowski\Eigene Dateien
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1021,98 Mb Total Physical Memory | 464,89 Mb Available Physical Memory | 45,49% Memory free
2,40 Gb Paging File | 1,60 Gb Available in Paging File | 66,67% Paging File free
Paging file location(s): c:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 93,16 Gb Total Space | 64,16 Gb Free Space | 68,87% Space Free | Partition Type: NTFS
 
Computer Name: NAME | User Name: USER | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = htmlfile] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [open] -- "C:\Program Files\Internet Explorer\IEXPLORE.EXE" -nohome
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AA_ABC FontViewer] -- "C:\Programme\ADAC-Software\ABC FontViewer\ABCFontViewer.exe" "%1"
Directory [AA_ABC of Pics] -- "C:\Programme\ADAC-Software\ABC of Pics\ABCofpics.exe" "%1"
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"5985:TCP" = 5985:TCP:*:Disabled:Windows-Remoteverwaltung 
"80:TCP" = 80:TCP:*:Disabled:Windows-Remoteverwaltung - Kompatibilitätsmodus (HTTP eingehend) 
"13573:UDP" = 13573:UDP:*:Enabled:UDP 13573
"26550:TCP" = 26550:TCP:*:Enabled:TCP 26550
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger -- (Logitech Inc.)
"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe" = C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe" = C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe" = C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- ()
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe" = C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\bin\hpofxs08.exe" = C:\Programme\HP\Digital Imaging\bin\hpofxs08.exe:*:Enabled:hpofxs08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\bin\hpqusgm.exe" = C:\Programme\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqusgh.exe" = C:\Programme\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\HP Software Update\HPWUCli.exe" = C:\Programme\HP\HP Software Update\HPWUCli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\Programme\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe -- (Hewlett-Packard Co.)
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger -- (Logitech Inc.)
"C:\Programme\eMule.de 0.48a v18\emule.exe" = C:\Programme\eMule.de 0.48a v18\emule.exe:*:Enabled:eMule
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Enabled:VLC media player -- ()
"C:\Programme\eMule\emule.exe" = C:\Programme\eMule\emule.exe:*:Enabled:eMule
"C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE" = C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE:*:Disabled:WEB.DE MultiMessenger -- (WEB.DE GmbH)
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager
"C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe" = C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe" = C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe" = C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpfcCopy.exe:*:Enabled:hpfccopy.exe -- ()
"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe" = C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe" = C:\Programme\HP\Digital Imaging\bin\hpiscnapp.exe:*:Enabled:hpiscnapp.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\bin\hpofxs08.exe" = C:\Programme\HP\Digital Imaging\bin\hpofxs08.exe:*:Enabled:hpofxs08.exe -- (Hewlett-Packard Development Company, L.P.)
"C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgplgtupl.exe:*:Enabled:hpqgplgtupl.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe" = C:\Programme\HP\Digital Imaging\bin\hpqgpc01.exe:*:Enabled:hpqgpc01.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\bin\hpqusgm.exe" = C:\Programme\HP\Digital Imaging\bin\hpqusgm.exe:*:Enabled:hpqusgm.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\Digital Imaging\bin\hpqusgh.exe" = C:\Programme\HP\Digital Imaging\bin\hpqusgh.exe:*:Enabled:hpqusgh.exe -- (Hewlett-Packard Co.)
"C:\Programme\HP\HP Software Update\HPWUCli.exe" = C:\Programme\HP\HP Software Update\HPWUCli.exe:*:Enabled:hpwucli.exe -- (Hewlett-Packard)
"C:\Programme\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe" = C:\Programme\HP\Digital Imaging\smart web printing\SmartWebPrintExe.exe:*:Enabled:smartwebprintexe.exe -- (Hewlett-Packard Co.)
"C:\Programme\Google\Google Earth\plugin\geplugin.exe" = C:\Programme\Google\Google Earth\plugin\geplugin.exe:*:Disabled:Google Earth -- (Google)
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
"C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsasvr.exe:*:Enabled:KTF MUSIC AoD Server -- (PeeringPortal)
"C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe" = C:\Programme\Samsung\Samsung New PC Studio\npsvsvr.exe:*:Enabled:KTF MUSIC VoD Server -- (PeeringPortal)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype  -- (Skype Technologies S.A.)
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Disabled:Windows Explorer -- (Microsoft Corporation)
"Client Server Runtime Process" = C:\Dokumente und Einstellungen\Ronowski\Anwendungsdaten\System32\csrss.exe
"Host-process Windows (Rundll32.exe)" = c:\dokumente und einstellungen\ronowski\anwendungsdaten\system32\csrss.exe
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{07FB17D8-7DB6-4F06-80C4-8BE1719CB6A1}" = hpWLPGInstaller
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{0DC7F1CB-B3EB-48CF-8136-3BF8635F8566}" = Internet Explorer 8 WEB.DE Edition
"{0F367CA3-3B2F-43F9-A44A-25A8EE69E45D}" = Scan
"{175F0111-2968-4935-8F70-33108C6A4DE3}" = MarketResearch
"{1A655D51-1423-48A3-B748-8F5A0BE294C8}" = Microsoft Visual J# .NET Redistributable Package 1.1
"{2012D762-5DCA-455A-B5FE-EDF79BC93E18}" = HP Photosmart C4700 All-In-One Driver Software 13.0 Rel .6
"{21A2F5EE-1DC5-488A-BE7E-E526F8C61488}" = DeviceDiscovery
"{295C31E5-3F91-498E-9623-DA24D2FA2B6A}" = T-Online WLAN-Access Finder
"{2E8EAC71-BFE4-417A-88F0-5A1BDFBCF5D3}" = Logitech SetPoint
"{2EEA7AA4-C203-4b90-A34F-19FB7EF1C81C}" = BufferChm
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{43CDF946-F5D9-4292-B006-BA0D92013021}" = WebReg
"{45A66726-69BC-466B-A7A4-12FCBA4883D7}" = HiJackThis
"{468D22C0-8080-11E2-B86E-B8AC6F98CCE3}" = Google Earth
"{4A460FEA-AF9C-416F-BA6E-EE239609BD1D}" = ATI Catalyst Control Center
"{4A70EF07-7F88-4434-BB61-D1DE8AE93DD4}" = SolutionCenter
"{5EAB789D-6AF4-4D59-89CE-2A7381517EAE}" = InkJet-TuningPro
"{63CFD835-FF50-4F8B-91CD-5662A8C640F8}" = Photo Transport
"{63FF21C9-A810-464F-B60A-3111747B1A6D}" = GPBaseService2
"{68763C27-235D-4165-A961-FDEA228CE504}" = AiOSoftwareNPI
"{68A10D12-0D0F-4212-BDE6-D87FAD32A8FA}" = SmartWebPrinting
"{6B2FFB21-AC88-45C3-9A7D-4BB3E744EC91}" = HPSSupply
"{6BBA26E9-AB03-4FE7-831A-3535584CA002}" = Toolbox
"{7059BDA7-E1DB-442C-B7A1-6144596720A4}" = HP Update
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{736C803C-DD3B-4015-BC51-AFB9E67B9076}" = Readme
"{75247E38-5C9B-45D6-ADF8-E11CB56B4990}" = Network
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{777afb2a-98e5-4f14-b455-378a925cae15}.sdb" = CVE-2012-4969
"{7E7B7865-6C80-4373-8BC1-C2EB9431F9DE}" = ProductContextNPI
"{7E84FAC8-C518-40F9-9807-7455301D6D25}" = SamsungConnectivityCableDriver
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8AC049F7-1383-45C3-9E7D-F93CA667F9E1}" = UMVPLStandalone
"{900B1197-53F5-4F46-A882-2CFFFE2EEDCB}" = Logitech Desktop Messenger
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91120407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Standard Edition 2003
"{92127AF5-FDD8-4ADF-BC40-C356C9EE0B7D}" = 32 Bit HP CIO Components Installer
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A55F4F9F-CCA8-4732-AA1F-0390A4A50947}" = C4700
"{A654A805-41D9-40C7-AA46-4AF04F044D61}" = Adobe® Photoshop® Album Starter Edition 3.2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC599724-5755-48C1-ABE7-ABB857652930}" = PC Connectivity Solution
"{AC76BA86-7AD7-1031-7B44-A81200000003}" = Adobe Reader 8.1.2 - Deutsch
"{AE8705FB-E13C-40A9-8A2D-68D6733FBFC2}" = Status
"{B2544A03-10D0-4E5E-BA69-0362FFC20D18}" = OGA Notifier 2.0.0048.0
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"{BD7204BA-DD64-499E-9B55-6A282CDF4FA4}" = Destinations
"{BDBE2F3E-42DB-4d4a-8CB1-19BA765DBC6C}" = HP Photosmart, Officejet and Deskjet 7.0.A
"{BE7785D6-045F-44FB-A1E4-3FA555874415}" = pdfforge Toolbar v7.0
"{BEF726DD-4037-4214-8C6A-E625C02D2870}" = Logitech Audio Echo Cancellation Component
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C43326F5-F135-4551-8270-7F7ABA0462E1}" = HPProductAssistant
"{C75CDBA2-3C86-481e-BD10-BDDA758F9DFF}" = hpPrintProjects
"{C8753E28-2680-49BF-BD48-DD38FD086EFE}" = AiO_Scan_CDA
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DC0A5F99-FD66-433F-9D3A-05DCBA64BE42}" = TrayApp
"{E36F3199-C282-47CA-BAC7-2B77D247E760}" = PS_AIO_06_C4700_SW_Min
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{EB788378-C27A-468F-BEAC-00C123D216E6}" = WEB.DE Toolbar MSVC90 CRT
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"{F1FCC8AD-0F88-4D77-8530-0FBB088485F1}" = WEB.DE Update
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F6076EF9-08E1-442F-B6A2-BFB61B295A14}" = Fax_CDA
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FBB980B0-63F8-4B48-8D65-90F1D9F81D9F}" = NewCopy_CDA
"1&1 Mail & Media GmbH 1und1Softwareaktualisierung" = WEB.DE Softwareaktualisierung
"1&1 Mail & Media GmbH Toolbar FF" = WEB.DE MailCheck für Mozilla Firefox
"1&1 Mail & Media GmbH Toolbar IE8" = WEB.DE MailCheck für Internet Explorer
"3A5DEFA413DDE699DBA6EBE0A63534ACA524D30F" = Windows-Treiberpaket - Nokia pccsmcfd  (10/12/2007 6.85.4.0)
"6194C28A8F62DD817EA1B918E6E46E806A21B452" = Windows-Treiberpaket - MobileTop (sshpmdm) Modem  (02/23/2007 2.5.0.0)
"65B6FE5418CE28F4D72543FB2D964C3CEC83F161" = Windows-Treiberpaket - MobileTop (sshpusb) USB  (02/23/2007 2.5.0.0)
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe® Photoshop® Album Starter Edition 3.2" = Adobe® Photoshop® Album Starter Edition 3.2
"All ATI Software" = ATI - Dienstprogramm zur Deinstallation der Software
"ATI Display Driver" = ATI Display Driver
"AudibleManager" = AudibleManager
"Avira AntiVir Desktop" = Avira Antivirus Premium 2012
"BabylonToolbar" = Babylon toolbar
"CCleaner" = CCleaner
"eMule" = eMule
"FoxTab PDF Converter" = FoxTab PDF Converter
"Google Chrome" = Google Chrome
"HP Imaging Device Functions" = HP Imaging Device Functions 13.0
"HP Print Projects" = HP Print Projects 1.0
"HP Smart Web Printing" = HP Smart Web Printing 4.5
"HP Solution Center & Imaging Support Tools" = HP Solution Center 13.0
"HPExtendedCapabilities" = HP Customer Participation Program 13.0
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{F193FC0E-9E18-40FC-A974-509A1BDD240A}" = Samsung New PC Studio
"InterActual Player" = InterActual Player
"Internet Explorer 8 WEB.DE Edition" = Internet Explorer 8 WEB.DE Edition
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.75.0.1300
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"Mozilla Firefox 13.0 (x86 de)" = Mozilla Firefox 13.0 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NeroMultiInstaller!UninstallKey" = Nero Suite
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Notepad++" = Notepad++
"NVIDIA Drivers" = NVIDIA Drivers
"Picasa2" = Picasa 2
"PROSet" = Intel(R) PRO Network Connections Drivers
"QcDrv" = Logitech® Camera-Treiber
"RealPlayer 12.0" = RealPlayer
"SAMSUNG Mobile Composite Device" = SAMSUNG Mobile Composite Device Software
"SAMSUNG Mobile Modem" = SAMSUNG Mobile Modem Driver Set
"Samsung Mobile Modem Device" = Samsung Mobile Modem Device Software
"Samsung Mobile phone USB driver" = Samsung Mobile phone USB driver Software
"SAMSUNG Mobile USB Modem" = SAMSUNG Mobile USB Modem Software
"SAMSUNG Mobile USB Modem 1.0" = SAMSUNG Mobile USB Modem 1.0 Software
"SAMSUNG USB Mobile Device" = SAMSUNG USB Mobile Device Software
"Shop for HP Supplies" = Shop for HP Supplies
"TOSHIBA Software Modem" = TOSHIBA Software Modem
"VLC media player" = VideoLAN VLC media player 0.8.6a
"WEB.DE MultiMessenger" = WEB.DE MultiMessenger
"WEB.DE Update" = WEB.DE Update
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 09.03.2013 06:55:17 | Computer Name = NAME | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
 nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.
 
Error - 15.03.2013 06:44:47 | Computer Name = NAME | Source = ESENT | ID = 490
Description = svchost (1344) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
Error - 21.03.2013 14:25:07 | Computer Name = NAME | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
 Modul jscript.dll, Version 5.8.6001.23141, Fehleradresse 0x00014e56.
 
Error - 24.03.2013 13:30:52 | Computer Name = NAME | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung ipmgui.exe, Version 12.3.0.15, fehlgeschlagenes
 Modul shlwapi.dll, Version 6.0.2900.5912, Fehleradresse 0x00020bb7.
 
Error - 24.03.2013 13:32:58 | Computer Name = NAME | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung taskmgr.exe, Version 5.1.2600.5512, fehlgeschlagenes
 Modul shlwapi.dll, Version 6.0.2900.5912, Fehleradresse 0x00020bb7.
 
Error - 08.04.2013 07:33:39 | Computer Name = NAME | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung iexplore.exe, Version 8.0.6001.18702, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 08.04.2013 07:33:49 | Computer Name = NAME | Source = Application Hang | ID = 1001
Description = Fehlerhafter Speicherbereich 1180947459.
 
Error - 13.04.2013 12:04:23 | Computer Name = NAME | Source = VSS | ID = 12292
Description = Volumeschattenkopie-Dienstfehler: Beim Erstellen der Schattenkopieanbieter-COM-Klasse
 mit CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070422] ist ein Fehler aufgetreten.
 
Error - 13.04.2013 12:04:38 | Computer Name = NAME | Source = VSS | ID = 12292
Description = Volumeschattenkopie-Dienstfehler: Beim Erstellen der Schattenkopieanbieter-COM-Klasse
 mit CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070422] ist ein Fehler aufgetreten.
 
Error - 13.04.2013 12:14:11 | Computer Name = NAME | Source = VSS | ID = 12292
Description = Volumeschattenkopie-Dienstfehler: Beim Erstellen der Schattenkopieanbieter-COM-Klasse
 mit CLSID {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070422] ist ein Fehler aufgetreten.
 
[ System Events ]
Error - 26.03.2013 07:17:25 | Computer Name = NAME | Source = ipnathlp | ID = 31008
Description = Der DNS-Proxy-Agent konnte aus der Registrierung die Liste der  Namensauflösungsserver
 nicht lesen.  Die Daten enthalten den Fehlercode.
 
Error - 13.04.2013 12:04:23 | Computer Name = NAME | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "SwPrv"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {65EE1DBA-8FF4-4A58-AC1C-3470EE2F376A}
 
Error - 13.04.2013 12:04:38 | Computer Name = NAME | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "SwPrv"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {65EE1DBA-8FF4-4A58-AC1C-3470EE2F376A}
 
Error - 13.04.2013 12:14:11 | Computer Name = NAME | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1058" aufgetreten, als der Dienst "SwPrv"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {65EE1DBA-8FF4-4A58-AC1C-3470EE2F376A}
 
 
< End of report >
         
Mehr habe ich jetzt nicht dazu. Könnt ihr mir bitte weiterhelfen?

Danke und Gruß,
Tatjana

Alt 17.04.2013, 15:06   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



Hallo und

Zitat:
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600)
Warum bitte eine Professional-Edition von Windows, brauchst du das als Heimanwender?
Oder ist das rein zufällig ein Büro-/Firmen-PC bzw. ein Uni-Rechner?



Hast du noch weitere Logs (mit Funden)?
Ist dein Virenscanner jemals fündig geworden?

Malwarebytes und/oder andere Virenscanner?

Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

Lesestoff:
Posten in CODE-Tags
Die Logfiles anzuhängen oder sogar vorher in ein ZIP, RAR, 7Z-Archive zu packen erschwert mir massiv die Arbeit, es sei denn natürlich die Datei wäre ansonsten zu gross für das Forum. Um die Logfiles in eine CODE-Box zu stellen gehe so vor:
  • Markiere das gesamte Logfile (geht meist mit STRG+A) und kopiere es in die Zwischenablage mit STRG+C.
  • Klicke im Editor auf das #-Symbol. Es erscheinen zwei Klammerausdrücke [CODE] [/CODE].
  • Setze den Curser zwischen die CODE-Tags und drücke STRG+V.
  • Klicke auf Erweitert/Vorschau, um so prüfen, ob du es richtig gemacht hast. Wenn alles stimmt ... auf Antworten.
__________________

__________________

Alt 17.04.2013, 15:28   #3
Rocco68
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



Hallo cosinus,

erstmal danke fürs Welcome und dann Sorry wegen den vielen Eröffnungen. Ich habe jedes Mal einen Verbindungsabbruch gekriegt... da dachte ich nicht, daß es durchging :schäm:

Den Rechner habe ich für den Heimgebrauch. Ist das unnormal mit dieser Windows-Edition?

Mein Virenscanner (Avira seit Juli 2012, vorher BitDefender) hat nie gemeckert. Weitere Antivirensoftware habe ich bisher nicht im Einsatz.

Malwarebyte hat noch was altes aufgestöbert, von dem ich nix weiß oder auch nie bemerkt habe:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2091
Windows 5.1.2600 Service Pack 3

08.05.2009 11:59:12
mbam-log-2009-05-08 (11-59-12).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 195721
Laufzeit: 1 hour(s), 5 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\USER\Anwendungsdaten\DriveCleaner 2006 Free (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\USER\Anwendungsdaten\DriveCleaner 2006 Free\Logs (Rogue.DriveCleaner) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\USER\Anwendungsdaten\DriveCleaner 2006 Free\Logs\update.log (Rogue.DriveCleaner) -> Quarantined and deleted successfully.
         
Dann wurde noch ein Log erzeugt, ebenfalls was altes von dem ich nicht wußte, warum das kommt:

Code:
ATTFilter
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1136
Windows 5.1.2600 Service Pack 2

10.09.2008 15:41:38
mbam-log-2008-09-10 (15-41-38).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 2244
Laufzeit: 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Gruß,
Tatjana
__________________

Alt 17.04.2013, 22:36   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



Zitat:
Ist das unnormal mit dieser Windows-Edition?
Unnormal ist eine Frage der Definition, lt. der Bezeichnung ist für reinen Heimgebrauch die Home-Edition aber nicht die Professional-Edition logisch. Deswegen frag ich nach warum du eine solche Professional-Edition drauf hast und woher die stammt.


Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Die Logs der aufgegebenen Tools wie zB Malwarebytes sind immer zu posten - egal ob ein Fund dabei war oder nicht!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Rootkitscan mit GMER

Bitte lade dir GMER Rootkit Scanner GMER herunter: (Dateiname zufällig)
  • Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
  • Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Haken bei: IAT/EAT und Show All
  • Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
  • Starte den Scan mit "Scan".
  • Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!


Tauchen Probleme auf?
  • Probiere alternativ den abgesicherten Modus.
  • Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.


Anschließend bitte MBAR ausführen:

Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.
  • Starte bitte die mbar.exe.
  • Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
  • Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut.
  • Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.
Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 18.04.2013, 15:32   #5
Rocco68
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



Hallo cosinus,

GMER ist gelaufen, im abgesicherten Modus.

Allerdings erhalte ich die Meldung "...hasn´t found any modification". Beim Sichern der txt.Datei ist diese dann auch leer. Kann das denn sein? Deine Anweisungen mit den Häkelchen habe ich alle befolgt.

Ich frage vorsichtshalber nach, bevor ich MBAR laufen lasse...

Gruß,
Tatjana

Zitat:
Hast du noch weitere Logs (mit Funden)? Ist dein Virenscanner jemals fündig geworden?
Ja, das habe ich übersehen. Bin erst durch einen anderen Thread darauf gekommen...

Avira wurde fündig:

Code:
ATTFilter
Exportierte Ereignisse:

10.04.2013 11:55 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Dokumente und 
      Einstellungen\USER\Anwendungsdaten\Caowyr\kivawe.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Spy.ZBot.kfmf' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

10.04.2013 12:00 [System Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und 
      Einstellungen\USER\Anwendungsdaten\Caowyr\kivawe.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.ZBot.kfmf' [trojan].
      Durchgeführte Aktion(en):
      Der Registrierungseintrag 
      <HKEY_USERS\S-1-5-21-1060284298-2139871995-725345543-1003\SOFTWARE\Microsoft\Win
      dows\CurrentVersion\Run\{084860E7-8888-AD7B-4AFD-B2535A2B9141}> wurde 
      erfolgreich repariert.
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '531b99e8.qua' 
      verschoben!

10.04.2013 12:33 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\System Volume 
      Information\_restore{F0EF8477-EB58-4A0F-BDDA-89515EB092DE}\RP1095\A0226596.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Spy.ZBot.EB.318' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

10.04.2013 16:30 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\System Volume 
      Information\_restore{F0EF8477-EB58-4A0F-BDDA-89515EB092DE}\RP1095\A0226596.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Spy.ZBot.EB.318' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

10.04.2013 17:10 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\System Volume 
      Information\_restore{F0EF8477-EB58-4A0F-BDDA-89515EB092DE}\RP1095\A0226596.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Spy.ZBot.EB.318' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

10.04.2013 18:33 [System Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{F0EF8477-EB58-4A0F-BDDA-89515EB092DE}\RP1095\A0226596.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.ZBot.EB.318' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5357303e.qua' 
      verschoben!

11.04.2013 13:42 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\System Volume 
      Information\_restore{F0EF8477-EB58-4A0F-BDDA-89515EB092DE}\RP1096\A0226705.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Spy.ZBot.kfmf' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

11.04.2013 14:42 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\System Volume 
      Information\_restore{F0EF8477-EB58-4A0F-BDDA-89515EB092DE}\RP1096\A0226705.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Spy.ZBot.kfmf' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

11.04.2013 15:42 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\System Volume 
      Information\_restore{F0EF8477-EB58-4A0F-BDDA-89515EB092DE}\RP1096\A0226705.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Spy.ZBot.kfmf' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

11.04.2013 16:55 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\System Volume 
      Information\_restore{F0EF8477-EB58-4A0F-BDDA-89515EB092DE}\RP1096\A0226705.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Spy.ZBot.kfmf' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

11.04.2013 17:44 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\System Volume 
      Information\_restore{F0EF8477-EB58-4A0F-BDDA-89515EB092DE}\RP1096\A0226705.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Spy.ZBot.kfmf' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

11.04.2013 18:49 [System Scanner] Malware gefunden
      Die Datei 'C:\System Volume 
      Information\_restore{F0EF8477-EB58-4A0F-BDDA-89515EB092DE}\RP1096\A0226705.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Spy.ZBot.kfmf' [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '520a48bb.qua' 
      verschoben!

12.04.2013 19:02 [Browser Schutz] Malware gefunden
      Beim Zugriff auf Daten der URL "hxxp://realbiznetwork.com/tmp/sm.exe"
      wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Sirefef.PJ.8' [trojan] 
      gefunden.
      Durchgeführte Aktion: Der Zugriff auf die Datei wurde blockiert

13.04.2013 17:55 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Dokumente und 
      Einstellungen\USER\Anwendungsdaten\System32\csrss.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Recslurp.A.36' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

13.04.2013 17:55 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Dokumente und 
      Einstellungen\USER\Anwendungsdaten\System32\csrss.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Recslurp.A.36' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

13.04.2013 17:55 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Dokumente und 
      Einstellungen\USER\Anwendungsdaten\System32\csrss.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Recslurp.A.36' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

13.04.2013 17:55 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Dokumente und 
      Einstellungen\USER\Anwendungsdaten\System32\csrss.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Recslurp.A.36' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

13.04.2013 17:55 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Dokumente und 
      Einstellungen\USER\Anwendungsdaten\System32\csrss.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Recslurp.A.36' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

13.04.2013 18:04 [System Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und 
      Einstellungen\USER\Anwendungsdaten\System32\csrss.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Recslurp.A.36' 
      [trojan].
      Durchgeführte Aktion(en):
      Der Registrierungseintrag 
      <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Client Server 
      Runtime Process> wurde erfolgreich repariert.
      Der Registrierungseintrag 
      <HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Host-process 
      Windows (Rundll32.exe)> wurde erfolgreich repariert.
      Der Registrierungseintrag 
      <HKEY_USERS\S-1-5-21-1060284298-2139871995-725345543-1003\SOFTWARE\Microsoft\Win
      dows\CurrentVersion\Run\Client Server Runtime Process> wurde erfolgreich 
      repariert.
      Der Registrierungseintrag 
      <HKEY_USERS\S-1-5-21-1060284298-2139871995-725345543-1003\SOFTWARE\Microsoft\Win
      dows\CurrentVersion\Run\Host-process Windows (Rundll32.exe)> wurde erfolgreich 
      repariert.
      Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler 
      aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003.
      Die Datei konnte nicht gelöscht werden!
      Es wird versucht die Aktion mit Hilfe der ARK Library durchzuführen.
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bbe0659.qua' 
      verschoben!

13.04.2013 18:05 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\All 
      Users\Anwendungsdaten\Avira\AntiVir 
      Desktop\TEMP\AVSCAN-20130413-175603-332A8B33\ARKD.tmp'
      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Recslurp.A.36' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

13.04.2013 18:05 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\All 
      Users\Anwendungsdaten\Avira\AntiVir 
      Desktop\TEMP\AVSCAN-20130413-175603-332A8B33\ARKD.tmp'
      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Recslurp.A.36' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

13.04.2013 18:05 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\All 
      Users\Anwendungsdaten\Avira\AntiVir 
      Desktop\TEMP\AVSCAN-20130413-175603-332A8B33\ARKD.tmp'
      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Recslurp.A.36' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

13.04.2013 18:17 [Echtzeit Scanner] Malware gefunden
      In der Datei 'C:\Dokumente und Einstellungen\USER\Lokale 
      Einstellungen\Temp\7251109.exe'
      wurde ein Virus oder unerwünschtes Programm 'TR/Dldr.Recslurp.A.36' [trojan] 
      gefunden.
      Ausgeführte Aktion: Zugriff verweigern

13.04.2013 18:30 [System Scanner] Malware gefunden
      Die Datei 'C:\Dokumente und Einstellungen\USER\Lokale 
      Einstellungen\Temp\7251109.exe'
      enthielt einen Virus oder unerwünschtes Programm 'TR/Dldr.Recslurp.A.36' 
      [trojan].
      Durchgeführte Aktion(en):
      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '536d2933.qua' 
      verschoben!
         
Weiter bei der Frage vorweg: GMER findet keine Systemänderungen und hat keinen Logeintrag...

Kann das denn stimmen?

Gruß,
Tatjana


Alt 18.04.2013, 23:22   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



Zitat:
Kann das denn stimmen?
Ich möchte dich bitten, dass du hier nur die Logs postest und keine Eigeninterpretationen startest. Danke.

Da GMER nichts gefunden hat, fehlt noch das Log von MBAR.
__________________
--> ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe

Alt 19.04.2013, 13:02   #7
Rocco68
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



MBAR ist gelaufen:

Code:
ATTFilter
Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.04.19.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
USER :: NAME [administrator]

19.04.2013 13:57:35
mbar-log-2013-04-19 (13-57-35).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 27184
Time elapsed: 25 minute(s), 3 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)
         
Gruß,
Tatjana

Alt 19.04.2013, 15:12   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



aswMBR

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).




TDSS-Killer

Downloade dir bitte TDSSKiller TDSSKiller.exe und speichere diese Datei auf dem Desktop
  • Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
  • Drücke Start Scan
  • Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
    TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
    Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt
Poste den Inhalt bitte in jedem Fall hier in deinen Thread.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.04.2013, 16:18   #9
Rocco68
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



aswMBR lässt sich nicht herunterladen. Es erscheint eine Windows Internet Explorer Fehlermeldung "...kann nicht heruntergeladen werden. Das Zeitlimit für den Vorgang wurde erreicht."

TDSS-Killer:
Code:
ATTFilter
17:09:55.0531 4656  TDSS rootkit removing tool 2.8.16.0 Feb 11 2013 18:50:42
17:09:55.0812 4656  ============================================================
17:09:55.0812 4656  Current date / time: 2013/04/19 17:09:55.0812
17:09:55.0812 4656  SystemInfo:
17:09:55.0812 4656  
17:09:55.0812 4656  OS Version: 5.1.2600 ServicePack: 3.0
17:09:55.0812 4656  Product type: Workstation
17:09:55.0812 4656  ComputerName: NAME
17:09:55.0812 4656  UserName: USER
17:09:55.0812 4656  Windows directory: C:\WINDOWS
17:09:55.0812 4656  System windows directory: C:\WINDOWS
17:09:55.0812 4656  Processor architecture: Intel x86
17:09:55.0812 4656  Number of processors: 2
17:09:55.0812 4656  Page size: 0x1000
17:09:55.0812 4656  Boot type: Normal boot
17:09:55.0812 4656  ============================================================
17:10:06.0812 4656  Drive \Device\Harddisk0\DR0 - Size: 0x174A446000 (93.16 Gb), SectorSize: 0x200, Cylinders: 0x2F81, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
17:10:06.0812 4656  ============================================================
17:10:06.0812 4656  \Device\Harddisk0\DR0:
17:10:06.0812 4656  MBR partitions:
17:10:06.0812 4656  \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0xBA50E02
17:10:06.0812 4656  ============================================================
17:10:06.0828 4656  C: <-> \Device\Harddisk0\DR0\Partition1
17:10:06.0828 4656  ============================================================
17:10:06.0828 4656  Initialize success
17:10:06.0843 4656  ============================================================
17:10:36.0312 4152  ============================================================
17:10:36.0312 4152  Scan started
17:10:36.0312 4152  Mode: Manual; SigCheck; TDLFS; 
17:10:36.0312 4152  ============================================================
17:10:37.0593 4152  ================ Scan system memory ========================
17:10:37.0593 4152  System memory - ok
17:10:37.0593 4152  ================ Scan services =============================
17:10:37.0734 4152  Abiosdsk - ok
17:10:37.0734 4152  abp480n5 - ok
17:10:37.0781 4152  [ AC407F1A62C3A300B4F2B5A9F1D55B2C ] ACPI            C:\WINDOWS\system32\DRIVERS\ACPI.sys
17:10:39.0875 4152  ACPI - ok
17:10:39.0937 4152  [ 9E1CA3160DAFB159CA14F83B1E317F75 ] ACPIEC          C:\WINDOWS\system32\DRIVERS\ACPIEC.sys
17:10:40.0078 4152  ACPIEC - ok
17:10:40.0156 4152  [ 479901C99FA62D1C3261B7ACB1228DAD ] AdobeFlashPlayerUpdateSvc C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
17:10:40.0187 4152  AdobeFlashPlayerUpdateSvc - ok
17:10:40.0187 4152  adpu160m - ok
17:10:40.0234 4152  [ 8BED39E3C35D6A489438B8141717A557 ] aec             C:\WINDOWS\system32\drivers\aec.sys
17:10:40.0375 4152  aec - ok
17:10:40.0421 4152  [ 1E44BC1E83D8FD2305F8D452DB109CF9 ] AFD             C:\WINDOWS\System32\drivers\afd.sys
17:10:40.0515 4152  AFD - ok
17:10:40.0578 4152  [ B3192376C7A3814B5341EFC2202022F8 ] AgereSoftModem  C:\WINDOWS\system32\DRIVERS\AGRSM.sys
17:10:40.0687 4152  AgereSoftModem - ok
17:10:40.0703 4152  Aha154x - ok
17:10:40.0703 4152  aic78u2 - ok
17:10:40.0703 4152  aic78xx - ok
17:10:40.0750 4152  [ 738D80CC01D7BC7584BE917B7F544394 ] Alerter         C:\WINDOWS\system32\alrsvc.dll
17:10:40.0906 4152  Alerter - ok
17:10:40.0937 4152  [ 190CD73D4984F94D823F9444980513E5 ] ALG             C:\WINDOWS\System32\alg.exe
17:10:41.0031 4152  ALG - ok
17:10:41.0031 4152  AliIde - ok
17:10:41.0031 4152  amsint - ok
17:10:41.0171 4152  [ B9B5DFAFEA592BD4CA967824EBB42E3D ] AntiVirMailService C:\Programme\Avira\AntiVir Desktop\avmailc.exe
17:10:41.0203 4152  AntiVirMailService - ok
17:10:41.0265 4152  [ 67B1D78711B4386C26241096326EE14A ] AntiVirSchedulerService C:\Programme\Avira\AntiVir Desktop\sched.exe
17:10:41.0281 4152  AntiVirSchedulerService - ok
17:10:41.0328 4152  [ 845C4E7AE211EDAD5E0B832126F56932 ] AntiVirService  C:\Programme\Avira\AntiVir Desktop\avguard.exe
17:10:41.0343 4152  AntiVirService - ok
17:10:41.0375 4152  [ 30D71E0C149943A8985D02EA0944F2FE ] AntiVirWebService C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
17:10:41.0406 4152  AntiVirWebService - ok
17:10:41.0468 4152  [ 5234837DFEC4092E235594B25CF02865 ] Application Updater C:\Programme\Application Updater\ApplicationUpdater.exe
17:10:41.0531 4152  Application Updater - ok
17:10:41.0593 4152  [ D45960BE52C3C610D361977057F98C54 ] AppMgmt         C:\WINDOWS\System32\appmgmts.dll
17:10:41.0703 4152  AppMgmt - ok
17:10:41.0734 4152  [ B5B8A80875C1DEDEDA8B02765642C32F ] Arp1394         C:\WINDOWS\system32\DRIVERS\arp1394.sys
17:10:41.0875 4152  Arp1394 - ok
17:10:41.0875 4152  asc - ok
17:10:41.0890 4152  asc3350p - ok
17:10:41.0890 4152  asc3550 - ok
17:10:42.0046 4152  [ 776ACEFA0CA9DF0FAA51A5FB2F435705 ] aspnet_state    C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
17:10:42.0062 4152  aspnet_state - ok
17:10:42.0093 4152  [ B153AFFAC761E7F5FCFA822B9C4E97BC ] AsyncMac        C:\WINDOWS\system32\DRIVERS\asyncmac.sys
17:10:42.0250 4152  AsyncMac - ok
17:10:42.0265 4152  [ 9F3A2F5AA6875C72BF062C712CFA2674 ] atapi           C:\WINDOWS\system32\DRIVERS\atapi.sys
17:10:42.0421 4152  atapi - ok
17:10:42.0421 4152  Atdisk - ok
17:10:42.0453 4152  [ E306A671F9B9881462295190FECEBC42 ] Ati HotKey Poller C:\WINDOWS\system32\Ati2evxx.exe
17:10:42.0531 4152  Ati HotKey Poller - ok
17:10:42.0609 4152  [ C5E4E9247396A6595A60857CC780A332 ] ati2mtag        C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
17:10:42.0750 4152  ati2mtag - ok
17:10:42.0781 4152  [ 9916C1225104BA14794209CFA8012159 ] Atmarpc         C:\WINDOWS\system32\DRIVERS\atmarpc.sys
17:10:42.0921 4152  Atmarpc - ok
17:10:42.0968 4152  [ 58ED0D5452DF7BE732193E7999C6B9A4 ] AudioSrv        C:\WINDOWS\System32\audiosrv.dll
17:10:43.0109 4152  AudioSrv - ok
17:10:43.0156 4152  [ D9F724AA26C010A217C97606B160ED68 ] audstub         C:\WINDOWS\system32\DRIVERS\audstub.sys
17:10:43.0296 4152  audstub - ok
17:10:43.0343 4152  [ D5541F0AFB767E85FC412FC609D96A74 ] avgntflt        C:\WINDOWS\system32\DRIVERS\avgntflt.sys
17:10:43.0406 4152  avgntflt - ok
17:10:43.0453 4152  [ 7D967A682D4694DF7FA57D63A2DB01FE ] avipbb          C:\WINDOWS\system32\DRIVERS\avipbb.sys
17:10:43.0484 4152  avipbb - ok
17:10:43.0531 4152  [ 53E56450DA16A1A7F0D002F511113F67 ] avkmgr          C:\WINDOWS\system32\DRIVERS\avkmgr.sys
17:10:43.0546 4152  avkmgr - ok
17:10:43.0593 4152  [ DA1F27D85E0D1525F6621372E7B685E9 ] Beep            C:\WINDOWS\system32\drivers\Beep.sys
17:10:43.0734 4152  Beep - ok
17:10:43.0781 4152  [ D6F603772A789BB3228F310D650B8BD1 ] BITS            C:\WINDOWS\system32\qmgr.dll
17:10:43.0968 4152  BITS - ok
17:10:44.0015 4152  [ B71549F23736ADF83A571061C47777FD ] Browser         C:\WINDOWS\System32\browser.dll
17:10:44.0125 4152  Browser - ok
17:10:44.0140 4152  [ 90A673FC8E12A79AFBED2576F6A7AAF9 ] cbidf2k         C:\WINDOWS\system32\drivers\cbidf2k.sys
17:10:44.0296 4152  cbidf2k - ok
17:10:44.0312 4152  [ 0BE5AEF125BE881C4F854C554F2B025C ] CCDECODE        C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
17:10:44.0453 4152  CCDECODE - ok
17:10:44.0453 4152  cd20xrnt - ok
17:10:44.0468 4152  [ C1B486A7658353D33A10CC15211A873B ] Cdaudio         C:\WINDOWS\system32\drivers\Cdaudio.sys
17:10:44.0625 4152  Cdaudio - ok
17:10:44.0625 4152  [ C885B02847F5D2FD45A24E219ED93B32 ] Cdfs            C:\WINDOWS\system32\drivers\Cdfs.sys
17:10:44.0781 4152  Cdfs - ok
17:10:44.0796 4152  [ 1F4260CC5B42272D71F79E570A27A4FE ] Cdrom           C:\WINDOWS\system32\DRIVERS\cdrom.sys
17:10:44.0953 4152  Cdrom - ok
17:10:44.0953 4152  Changer - ok
17:10:45.0000 4152  [ 28E3040D1F1CA2008CD6B29DFEBC9A5E ] CiSvc           C:\WINDOWS\system32\cisvc.exe
17:10:45.0125 4152  CiSvc - ok
17:10:45.0140 4152  [ 778A30ED3C134EB7E406AFC407E9997D ] ClipSrv         C:\WINDOWS\system32\clipsrv.exe
17:10:45.0296 4152  ClipSrv - ok
17:10:45.0359 4152  [ D87ACAED61E417BBA546CED5E7E36D9C ] clr_optimization_v2.0.50727_32 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
17:10:45.0546 4152  clr_optimization_v2.0.50727_32 - ok
17:10:45.0578 4152  [ C5A75EB48E2344ABDC162BDA79E16841 ] clr_optimization_v4.0.30319_32 C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
17:10:45.0625 4152  clr_optimization_v4.0.30319_32 - ok
17:10:45.0640 4152  [ 0F6C187D38D98F8DF904589A5F94D411 ] CmBatt          C:\WINDOWS\system32\DRIVERS\CmBatt.sys
17:10:45.0781 4152  CmBatt - ok
17:10:45.0796 4152  CmdIde - ok
17:10:45.0812 4152  [ 6E4C9F21F0FAE8940661144F41B13203 ] Compbatt        C:\WINDOWS\system32\DRIVERS\compbatt.sys
17:10:45.0953 4152  Compbatt - ok
17:10:45.0953 4152  COMSysApp - ok
17:10:45.0968 4152  Cpqarray - ok
17:10:45.0984 4152  [ 611F824E5C703A5A899F84C5F1699E4D ] CryptSvc        C:\WINDOWS\System32\cryptsvc.dll
17:10:46.0140 4152  CryptSvc - ok
17:10:46.0140 4152  dac2w2k - ok
17:10:46.0156 4152  dac960nt - ok
17:10:46.0218 4152  [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] DcomLaunch      C:\WINDOWS\system32\rpcss.dll
17:10:46.0312 4152  DcomLaunch - ok
17:10:46.0359 4152  [ C29A1C9B75BA38FA37F8C44405DEC360 ] Dhcp            C:\WINDOWS\System32\dhcpcsvc.dll
17:10:46.0500 4152  Dhcp - ok
17:10:46.0500 4152  [ 044452051F3E02E7963599FC8F4F3E25 ] Disk            C:\WINDOWS\system32\DRIVERS\disk.sys
17:10:46.0640 4152  Disk - ok
17:10:46.0640 4152  dmadmin - ok
17:10:46.0703 4152  [ 0DCFC8395A99FECBB1EF771CEC7FE4EA ] dmboot          C:\WINDOWS\system32\drivers\dmboot.sys
17:10:46.0875 4152  dmboot - ok
17:10:46.0906 4152  [ 53720AB12B48719D00E327DA470A619A ] dmio            C:\WINDOWS\system32\DRIVERS\dmio.sys
17:10:47.0046 4152  dmio - ok
17:10:47.0078 4152  [ E9317282A63CA4D188C0DF5E09C6AC5F ] dmload          C:\WINDOWS\system32\drivers\dmload.sys
17:10:47.0203 4152  dmload - ok
17:10:47.0234 4152  [ 25C83FFBBA13B554EB6D59A9B2E2EE78 ] dmserver        C:\WINDOWS\System32\dmserver.dll
17:10:47.0375 4152  dmserver - ok
17:10:47.0406 4152  [ 8A208DFCF89792A484E76C40E5F50B45 ] DMusic          C:\WINDOWS\system32\drivers\DMusic.sys
17:10:47.0531 4152  DMusic - ok
17:10:47.0578 4152  [ 407F3227AC618FD1CA54B335B083DE07 ] Dnscache        C:\WINDOWS\System32\dnsrslvr.dll
17:10:47.0687 4152  Dnscache - ok
17:10:47.0734 4152  [ 676E36C4FF5BCEA1900F44182B9723E6 ] Dot3svc         C:\WINDOWS\System32\dot3svc.dll
17:10:47.0859 4152  Dot3svc - ok
17:10:47.0875 4152  dpti2o - ok
17:10:47.0906 4152  [ 8F5FCFF8E8848AFAC920905FBD9D33C8 ] drmkaud         C:\WINDOWS\system32\drivers\drmkaud.sys
17:10:48.0046 4152  drmkaud - ok
17:10:48.0093 4152  [ 5C940A174DFB2C42B9F6BA6EDC2BAA0B ] E100B           C:\WINDOWS\system32\DRIVERS\e100b325.sys
17:10:48.0109 4152  E100B - ok
17:10:48.0140 4152  [ 4E4F2FDDAB0A0736D7671134DCCE91FB ] EapHost         C:\WINDOWS\System32\eapsvc.dll
17:10:48.0281 4152  EapHost - ok
17:10:48.0296 4152  [ 877C18558D70587AA7823A1A308AC96B ] ERSvc           C:\WINDOWS\System32\ersvc.dll
17:10:48.0437 4152  ERSvc - ok
17:10:48.0484 4152  [ A3EDBE9053889FB24AB22492472B39DC ] Eventlog        C:\WINDOWS\system32\services.exe
17:10:48.0515 4152  Eventlog - ok
17:10:48.0562 4152  [ AF4F6B5739D18CA7972AB53E091CBC74 ] EventSystem     C:\WINDOWS\system32\es.dll
17:10:48.0625 4152  EventSystem - ok
17:10:48.0656 4152  [ 38D332A6D56AF32635675F132548343E ] Fastfat         C:\WINDOWS\system32\drivers\Fastfat.sys
17:10:48.0812 4152  Fastfat - ok
17:10:48.0859 4152  [ 2DB7D303C36DDD055215052F118E8E75 ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
17:10:48.0906 4152  FastUserSwitchingCompatibility - ok
17:10:48.0921 4152  [ 92CDD60B6730B9F50F6A1A0C1F8CDC81 ] Fdc             C:\WINDOWS\system32\drivers\Fdc.sys
17:10:49.0062 4152  Fdc - ok
17:10:49.0093 4152  [ B0678A548587C5F1967B0D70BACAD6C1 ] Fips            C:\WINDOWS\system32\drivers\Fips.sys
17:10:49.0234 4152  Fips - ok
17:10:49.0250 4152  [ 9D27E7B80BFCDF1CDD9B555862D5E7F0 ] Flpydisk        C:\WINDOWS\system32\drivers\Flpydisk.sys
17:10:49.0375 4152  Flpydisk - ok
17:10:49.0406 4152  [ B2CF4B0786F8212CB92ED2B50C6DB6B0 ] FltMgr          C:\WINDOWS\system32\drivers\fltmgr.sys
17:10:49.0546 4152  FltMgr - ok
17:10:49.0609 4152  [ 8BA7C024070F2B7FDD98ED8A4BA41789 ] FontCache3.0.0.0 c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
17:10:49.0640 4152  FontCache3.0.0.0 - ok
17:10:49.0671 4152  [ 790A4CA68F44BE35967B3DF61F3E4675 ] FsUsbExDisk     C:\WINDOWS\system32\FsUsbExDisk.SYS
17:10:49.0687 4152  FsUsbExDisk ( UnsignedFile.Multi.Generic ) - warning
17:10:49.0687 4152  FsUsbExDisk - detected UnsignedFile.Multi.Generic (1)
17:10:49.0718 4152  [ D3F9205CC4CB07553F2F9472C767EA87 ] FsUsbExService  C:\WINDOWS\system32\FsUsbExService.Exe
17:10:49.0734 4152  FsUsbExService ( UnsignedFile.Multi.Generic ) - warning
17:10:49.0734 4152  FsUsbExService - detected UnsignedFile.Multi.Generic (1)
17:10:49.0750 4152  [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A ] Fs_Rec          C:\WINDOWS\system32\drivers\Fs_Rec.sys
17:10:49.0875 4152  Fs_Rec - ok
17:10:49.0937 4152  [ 8F1955CE42E1484714B542F341647778 ] Ftdisk          C:\WINDOWS\system32\DRIVERS\ftdisk.sys
17:10:50.0062 4152  Ftdisk - ok
17:10:50.0109 4152  [ 0A02C63C8B144BD8C86B103DEE7C86A2 ] Gpc             C:\WINDOWS\system32\DRIVERS\msgpc.sys
17:10:50.0250 4152  Gpc - ok
17:10:50.0343 4152  [ 626A24ED1228580B9518C01930936DF9 ] gupdate1c9c5dc46160036 C:\Programme\Google\Update\GoogleUpdate.exe
17:10:50.0359 4152  gupdate1c9c5dc46160036 - ok
17:10:50.0359 4152  [ 626A24ED1228580B9518C01930936DF9 ] gupdatem        C:\Programme\Google\Update\GoogleUpdate.exe
17:10:50.0375 4152  gupdatem - ok
17:10:50.0406 4152  [ 573C7D0A32852B48F3058CFD8026F511 ] HDAudBus        C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
17:10:50.0546 4152  HDAudBus - ok
17:10:50.0625 4152  [ CB66BF85BF599BEFD6C6A57C2E20357F ] helpsvc         C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
17:10:50.0765 4152  helpsvc - ok
17:10:50.0765 4152  HidServ - ok
17:10:50.0781 4152  [ CCF82C5EC8A7326C3066DE870C06DAF1 ] HidUsb          C:\WINDOWS\system32\drivers\HidUsb.sys
17:10:50.0937 4152  HidUsb - ok
17:10:51.0000 4152  [ ED29F14101523A6E0E808107405D452C ] hkmsvc          C:\WINDOWS\System32\kmsvc.dll
17:10:51.0140 4152  hkmsvc - ok
17:10:51.0156 4152  hpn - ok
17:10:51.0234 4152  [ 0A3C6AA4A9FC38C20BA4EAC2C3351C05 ] hpqcxs08        C:\Programme\HP\Digital Imaging\bin\hpqcxs08.dll
17:10:51.0265 4152  hpqcxs08 ( UnsignedFile.Multi.Generic ) - warning
17:10:51.0265 4152  hpqcxs08 - detected UnsignedFile.Multi.Generic (1)
17:10:51.0296 4152  [ F3F72A2A86C22610BCA5439FA789DD52 ] hpqddsvc        C:\Programme\HP\Digital Imaging\bin\hpqddsvc.dll
17:10:51.0312 4152  hpqddsvc ( UnsignedFile.Multi.Generic ) - warning
17:10:51.0312 4152  hpqddsvc - detected UnsignedFile.Multi.Generic (1)
17:10:51.0390 4152  [ 79737E0F7D25DE8405CB34D4C9882253 ] HPSLPSVC        C:\Programme\HP\Digital Imaging\bin\HPSLPSVC32.DLL
17:10:51.0421 4152  HPSLPSVC ( UnsignedFile.Multi.Generic ) - warning
17:10:51.0421 4152  HPSLPSVC - detected UnsignedFile.Multi.Generic (1)
17:10:51.0468 4152  [ D03D10F7DED688FECF50F8FBF1EA9B8A ] HPZid412        C:\WINDOWS\system32\DRIVERS\HPZid412.sys
17:10:51.0687 4152  HPZid412 - ok
17:10:51.0718 4152  [ 89F41658929393487B6B7D13C8528CE3 ] HPZipr12        C:\WINDOWS\system32\DRIVERS\HPZipr12.sys
17:10:51.0765 4152  HPZipr12 - ok
17:10:51.0812 4152  [ ABCB05CCDBF03000354B9553820E39F8 ] HPZius12        C:\WINDOWS\system32\DRIVERS\HPZius12.sys
17:10:51.0875 4152  HPZius12 - ok
17:10:51.0937 4152  [ F80A415EF82CD06FFAF0D971528EAD38 ] HTTP            C:\WINDOWS\system32\Drivers\HTTP.sys
17:10:52.0000 4152  HTTP - ok
17:10:52.0031 4152  [ 9E4ADB854CEBCFB81A4B36718FEECD16 ] HTTPFilter      C:\WINDOWS\System32\w3ssl.dll
17:10:52.0187 4152  HTTPFilter - ok
17:10:52.0187 4152  i2omgmt - ok
17:10:52.0187 4152  i2omp - ok
17:10:52.0234 4152  [ E283B97CFBEB86C1D86BAED5F7846A92 ] i8042prt        C:\WINDOWS\system32\DRIVERS\i8042prt.sys
17:10:52.0375 4152  i8042prt - ok
17:10:52.0468 4152  [ C01AC32DC5C03076CFB852CB5DA5229C ] idsvc           c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
17:10:52.0531 4152  idsvc - ok
17:10:52.0531 4152  [ 083A052659F5310DD8B6A6CB05EDCF8E ] Imapi           C:\WINDOWS\system32\DRIVERS\imapi.sys
17:10:52.0703 4152  Imapi - ok
17:10:52.0750 4152  [ D4B413AA210C21E46AEDD2BA5B68D38E ] ImapiService    C:\WINDOWS\system32\imapi.exe
17:10:52.0890 4152  ImapiService - ok
17:10:52.0937 4152  [ D075EC26F410E5FE1CC3688BCF78609F ] InCDfs          C:\WINDOWS\system32\drivers\InCDfs.sys
17:10:52.0968 4152  InCDfs ( UnsignedFile.Multi.Generic ) - warning
17:10:52.0968 4152  InCDfs - detected UnsignedFile.Multi.Generic (1)
17:10:52.0984 4152  [ 1267811F30CECCB72E97DC33742ABEA2 ] InCDPass        C:\WINDOWS\system32\DRIVERS\InCDPass.sys
17:10:52.0984 4152  InCDPass ( UnsignedFile.Multi.Generic ) - warning
17:10:52.0984 4152  InCDPass - detected UnsignedFile.Multi.Generic (1)
17:10:53.0000 4152  [ BB4E2C719B745E27E55EDBCB1230C205 ] InCDrec         C:\WINDOWS\system32\drivers\InCDrec.sys
17:10:53.0000 4152  InCDrec ( UnsignedFile.Multi.Generic ) - warning
17:10:53.0000 4152  InCDrec - detected UnsignedFile.Multi.Generic (1)
17:10:53.0046 4152  [ 9589D693B003D2A4D044A2476A827E11 ] incdrm          C:\WINDOWS\system32\drivers\incdrm.sys
17:10:53.0062 4152  incdrm ( UnsignedFile.Multi.Generic ) - warning
17:10:53.0062 4152  incdrm - detected UnsignedFile.Multi.Generic (1)
17:10:53.0109 4152  InCDsrvR - ok
17:10:53.0109 4152  ini910u - ok
17:10:53.0328 4152  [ B12A9FC49CD2765A43829D834F518AED ] IntcAzAudAddService C:\WINDOWS\system32\drivers\RtkHDAud.sys
17:10:53.0593 4152  IntcAzAudAddService - ok
17:10:53.0593 4152  IntelIde - ok
17:10:53.0640 4152  [ 4C7D2750158ED6E7AD642D97BFFAE351 ] intelppm        C:\WINDOWS\system32\DRIVERS\intelppm.sys
17:10:53.0781 4152  intelppm - ok
17:10:53.0828 4152  [ 3BB22519A194418D5FEC05D800A19AD0 ] Ip6Fw           C:\WINDOWS\system32\drivers\ip6fw.sys
17:10:53.0968 4152  Ip6Fw - ok
17:10:54.0000 4152  [ 731F22BA402EE4B62748ADAF6363C182 ] IpFilterDriver  C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
17:10:54.0140 4152  IpFilterDriver - ok
17:10:54.0171 4152  [ B87AB476DCF76E72010632B5550955F5 ] IpInIp          C:\WINDOWS\system32\DRIVERS\ipinip.sys
17:10:54.0312 4152  IpInIp - ok
17:10:54.0312 4152  [ CC748EA12C6EFFDE940EE98098BF96BB ] IpNat           C:\WINDOWS\system32\DRIVERS\ipnat.sys
17:10:54.0468 4152  IpNat - ok
17:10:54.0500 4152  [ 23C74D75E36E7158768DD63D92789A91 ] IPSec           C:\WINDOWS\system32\DRIVERS\ipsec.sys
17:10:54.0625 4152  IPSec - ok
17:10:54.0640 4152  [ C93C9FF7B04D772627A3646D89F7BF89 ] IRENUM          C:\WINDOWS\system32\DRIVERS\irenum.sys
17:10:54.0750 4152  IRENUM - ok
17:10:54.0765 4152  [ 6DFB88F64135C525433E87648BDA30DE ] isapnp          C:\WINDOWS\system32\DRIVERS\isapnp.sys
17:10:54.0921 4152  isapnp - ok
17:10:54.0937 4152  [ 1704D8C4C8807B889E43C649B478A452 ] Kbdclass        C:\WINDOWS\system32\DRIVERS\kbdclass.sys
17:10:55.0093 4152  Kbdclass - ok
17:10:55.0125 4152  [ 692BCF44383D056AED41B045A323D378 ] kmixer          C:\WINDOWS\system32\drivers\kmixer.sys
17:10:55.0265 4152  kmixer - ok
17:10:55.0281 4152  [ B467646C54CC746128904E1654C750C1 ] KSecDD          C:\WINDOWS\system32\drivers\KSecDD.sys
17:10:55.0406 4152  KSecDD - ok
17:10:55.0437 4152  [ 702E5FFD2DD24B4B00F798953320FC20 ] L8042Kbd        C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys
17:10:55.0484 4152  L8042Kbd - ok
17:10:55.0500 4152  [ BB84D29E6F00C8A447BA63E94A2F1E0F ] L8042mou        C:\WINDOWS\system32\DRIVERS\L8042mou.Sys
17:10:55.0562 4152  L8042mou - ok
17:10:55.0609 4152  [ 2BBDCB79900990F0716DFCB714E72DE7 ] lanmanserver    C:\WINDOWS\System32\srvsvc.dll
17:10:55.0656 4152  lanmanserver - ok
17:10:55.0703 4152  [ 1869B14B06B44B44AF70548E1EA3303F ] lanmanworkstation C:\WINDOWS\System32\wkssvc.dll
17:10:55.0781 4152  lanmanworkstation - ok
17:10:55.0781 4152  lbrtfdc - ok
17:10:55.0828 4152  [ 04540F5B4C0760BF6D78311B04439AFA ] LHidKe          C:\WINDOWS\system32\DRIVERS\LHidKE.Sys
17:10:55.0859 4152  LHidKe - ok
17:10:55.0875 4152  [ 1C9414F926E5A8546A58B0E8E1BC5DDC ] LHidUsbK        C:\WINDOWS\system32\Drivers\LHidUsbK.Sys
17:10:55.0921 4152  LHidUsbK - ok
17:10:55.0968 4152  [ 636714B7D43C8D0C80449123FD266920 ] LmHosts         C:\WINDOWS\System32\lmhsvc.dll
17:10:56.0125 4152  LmHosts - ok
17:10:56.0125 4152  [ D98216E171E82524D0B9D8F13F7C96EA ] LMouKE          C:\WINDOWS\system32\DRIVERS\LMouKE.Sys
17:10:56.0156 4152  LMouKE - ok
17:10:56.0296 4152  [ 2D0AB9D29E6B0C42CCE955B5A8E0D62D ] LVcKap          C:\WINDOWS\system32\DRIVERS\LVcKap.sys
17:10:56.0375 4152  LVcKap - ok
17:10:56.0546 4152  [ A3963E3D997C3646E1D3338EB88A48E9 ] LVMVDrv         C:\WINDOWS\system32\DRIVERS\LVMVDrv.sys
17:10:56.0640 4152  LVMVDrv - ok
17:10:56.0687 4152  [ 39C767BD6D99C23D28E71B6E0CBA3129 ] LVPr2Mon        C:\WINDOWS\system32\drivers\LVPr2Mon.sys
17:10:56.0703 4152  LVPr2Mon - ok
17:10:56.0765 4152  [ 44B3B997E25C5D9A81D6C501451A96D7 ] LVPrcSrv        c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
17:10:56.0781 4152  LVPrcSrv - ok
17:10:56.0796 4152  [ 7B4607C0C664DA98753508F85BB10694 ] LVSrvLauncher   C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
17:10:56.0812 4152  LVSrvLauncher - ok
17:10:56.0859 4152  [ 6AD3F5275F117F08C12EAB2233A9E3FB ] LVUSBSta        C:\WINDOWS\system32\drivers\lvusbsta.sys
17:10:56.0875 4152  LVUSBSta - ok
17:10:56.0921 4152  [ E949D673842858D458F7E6BCD46A2A5D ] MACNDIS5        C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS
17:10:56.0937 4152  MACNDIS5 ( UnsignedFile.Multi.Generic ) - warning
17:10:56.0937 4152  MACNDIS5 - detected UnsignedFile.Multi.Generic (1)
17:10:56.0968 4152  [ 4A5FFDF0FE830C448830BD4B02B02B4B ] mbamchameleon   C:\WINDOWS\system32\drivers\mbamchameleon.sys
17:10:57.0000 4152  mbamchameleon - ok
17:10:57.0015 4152  [ 4470E3C1E0C3378E4CAB137893C12C3A ] MBAMProtector   C:\WINDOWS\system32\drivers\mbam.sys
17:10:57.0031 4152  MBAMProtector - ok
17:10:57.0125 4152  [ 65085456FD9A74D7F1A999520C299ECB ] MBAMScheduler   C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
17:10:57.0156 4152  MBAMScheduler - ok
17:10:57.0234 4152  [ E0D7732F2D2E24B2DB3F67B6750295B8 ] MBAMService     C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
17:10:57.0281 4152  MBAMService - ok
17:10:57.0328 4152  [ 11F714F85530A2BD134074DC30E99FCA ] MDM             C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
17:10:57.0359 4152  MDM - ok
17:10:57.0406 4152  [ B7550A7107281D170CE85524B1488C98 ] Messenger       C:\WINDOWS\System32\msgsvc.dll
17:10:57.0546 4152  Messenger - ok
17:10:57.0578 4152  [ 4AE068242760A1FB6E1A44BF4E16AFA6 ] mnmdd           C:\WINDOWS\system32\drivers\mnmdd.sys
17:10:57.0718 4152  mnmdd - ok
17:10:57.0765 4152  [ C2F1D365FD96791B037EE504868065D3 ] mnmsrvc         C:\WINDOWS\system32\mnmsrvc.exe
17:10:57.0906 4152  mnmsrvc - ok
17:10:57.0953 4152  [ 6FB74EBD4EC57A6F1781DE3852CC3362 ] Modem           C:\WINDOWS\system32\drivers\Modem.sys
17:10:58.0093 4152  Modem - ok
17:10:58.0125 4152  [ B24CE8005DEAB254C0251E15CB71D802 ] Mouclass        C:\WINDOWS\system32\DRIVERS\mouclass.sys
17:10:58.0265 4152  Mouclass - ok
17:10:58.0312 4152  [ 66A6F73C74E1791464160A7065CE711A ] mouhid          C:\WINDOWS\system32\DRIVERS\mouhid.sys
17:10:58.0453 4152  mouhid - ok
17:10:58.0484 4152  [ A80B9A0BAD1B73637DBCBBA7DF72D3FD ] MountMgr        C:\WINDOWS\system32\drivers\MountMgr.sys
17:10:58.0640 4152  MountMgr - ok
17:10:58.0687 4152  [ 6380FF81DD4D78B23398752D2F46EA43 ] MozillaMaintenance C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe
17:10:58.0718 4152  MozillaMaintenance - ok
17:10:58.0734 4152  mraid35x - ok
17:10:58.0734 4152  [ 11D42BB6206F33FBB3BA0288D3EF81BD ] MRxDAV          C:\WINDOWS\system32\DRIVERS\mrxdav.sys
17:10:58.0875 4152  MRxDAV - ok
17:10:58.0937 4152  [ 7D304A5EB4344EBEEAB53A2FE3FFB9F0 ] MRxSmb          C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
17:10:59.0046 4152  MRxSmb - ok
17:10:59.0109 4152  [ 35A031AF38C55F92D28AA03EE9F12CC9 ] MSDTC           C:\WINDOWS\system32\msdtc.exe
17:10:59.0265 4152  MSDTC - ok
17:10:59.0281 4152  [ C941EA2454BA8350021D774DAF0F1027 ] Msfs            C:\WINDOWS\system32\drivers\Msfs.sys
17:10:59.0453 4152  Msfs - ok
17:10:59.0453 4152  MSIServer - ok
17:10:59.0484 4152  [ D1575E71568F4D9E14CA56B7B0453BF1 ] MSKSSRV         C:\WINDOWS\system32\drivers\MSKSSRV.sys
17:10:59.0625 4152  MSKSSRV - ok
17:10:59.0640 4152  [ 325BB26842FC7CCC1FCCE2C457317F3E ] MSPCLOCK        C:\WINDOWS\system32\drivers\MSPCLOCK.sys
17:10:59.0796 4152  MSPCLOCK - ok
17:10:59.0796 4152  [ BAD59648BA099DA4A17680B39730CB3D ] MSPQM           C:\WINDOWS\system32\drivers\MSPQM.sys
17:10:59.0953 4152  MSPQM - ok
17:10:59.0984 4152  [ AF5F4F3F14A8EA2C26DE30F7A1E17136 ] mssmbios        C:\WINDOWS\system32\DRIVERS\mssmbios.sys
17:11:00.0140 4152  mssmbios - ok
17:11:00.0140 4152  [ E53736A9E30C45FA9E7B5EAC55056D1D ] MSTEE           C:\WINDOWS\system32\drivers\MSTEE.sys
17:11:00.0265 4152  MSTEE - ok
17:11:00.0312 4152  [ DE6A75F5C270E756C5508D94B6CF68F5 ] Mup             C:\WINDOWS\system32\drivers\Mup.sys
17:11:00.0328 4152  Mup - ok
17:11:00.0375 4152  [ 5F9BA398F88FC8928EA6DBD5D144CFCA ] MZCCntrl        C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
17:11:00.0375 4152  MZCCntrl ( UnsignedFile.Multi.Generic ) - warning
17:11:00.0375 4152  MZCCntrl - detected UnsignedFile.Multi.Generic (1)
17:11:00.0421 4152  [ 5B50F1B2A2ED47D560577B221DA734DB ] NABTSFEC        C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
17:11:00.0562 4152  NABTSFEC - ok
17:11:00.0625 4152  [ 46BB15AE2AC7D025D6D2567B876817BD ] napagent        C:\WINDOWS\System32\qagentrt.dll
17:11:00.0765 4152  napagent - ok
17:11:00.0796 4152  [ 1DF7F42665C94B825322FAE71721130D ] NDIS            C:\WINDOWS\system32\drivers\NDIS.sys
17:11:00.0937 4152  NDIS - ok
17:11:00.0968 4152  [ 7FF1F1FD8609C149AA432F95A8163D97 ] NdisIP          C:\WINDOWS\system32\DRIVERS\NdisIP.sys
17:11:01.0093 4152  NdisIP - ok
17:11:01.0140 4152  [ 0109C4F3850DFBAB279542515386AE22 ] NdisTapi        C:\WINDOWS\system32\DRIVERS\ndistapi.sys
17:11:01.0171 4152  NdisTapi - ok
17:11:01.0203 4152  [ F927A4434C5028758A842943EF1A3849 ] Ndisuio         C:\WINDOWS\system32\DRIVERS\ndisuio.sys
17:11:01.0343 4152  Ndisuio - ok
17:11:01.0359 4152  [ EDC1531A49C80614B2CFDA43CA8659AB ] NdisWan         C:\WINDOWS\system32\DRIVERS\ndiswan.sys
17:11:01.0500 4152  NdisWan - ok
17:11:01.0546 4152  [ 9282BD12DFB069D3889EB3FCC1000A9B ] NDProxy         C:\WINDOWS\system32\drivers\NDProxy.sys
17:11:01.0609 4152  NDProxy - ok
17:11:01.0640 4152  [ 510C138564486FF926A3F773205C63D1 ] Net Driver HPZ12 C:\WINDOWS\system32\HPZinw12.dll
17:11:01.0671 4152  Net Driver HPZ12 ( UnsignedFile.Multi.Generic ) - warning
17:11:01.0671 4152  Net Driver HPZ12 - detected UnsignedFile.Multi.Generic (1)
17:11:01.0687 4152  [ 5D81CF9A2F1A3A756B66CF684911CDF0 ] NetBIOS         C:\WINDOWS\system32\DRIVERS\netbios.sys
17:11:01.0828 4152  NetBIOS - ok
17:11:01.0875 4152  [ 74B2B2F5BEA5E9A3DC021D685551BD3D ] NetBT           C:\WINDOWS\system32\DRIVERS\netbt.sys
17:11:02.0015 4152  NetBT - ok
17:11:02.0062 4152  [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDE          C:\WINDOWS\system32\netdde.exe
17:11:02.0218 4152  NetDDE - ok
17:11:02.0218 4152  [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDEdsdm      C:\WINDOWS\system32\netdde.exe
17:11:02.0359 4152  NetDDEdsdm - ok
17:11:02.0375 4152  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] Netlogon        C:\WINDOWS\system32\lsass.exe
17:11:02.0531 4152  Netlogon - ok
17:11:02.0546 4152  [ E6D88F1F6745BF00B57E7855A2AB696C ] Netman          C:\WINDOWS\System32\netman.dll
17:11:02.0687 4152  Netman - ok
17:11:02.0734 4152  [ D22CD77D4F0D63D1169BB35911BFF12D ] NetTcpPortSharing c:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\SMSvcHost.exe
17:11:02.0765 4152  NetTcpPortSharing - ok
17:11:02.0796 4152  [ E9E47CFB2D461FA0FC75B7A74C6383EA ] NIC1394         C:\WINDOWS\system32\DRIVERS\nic1394.sys
17:11:02.0921 4152  NIC1394 - ok
17:11:02.0968 4152  [ F1B67B6B0751AE0E6E964B02821206A3 ] Nla             C:\WINDOWS\System32\mswsock.dll
17:11:03.0015 4152  Nla - ok
17:11:03.0046 4152  [ 1E421A6BCF2203CC61B821ADA9DE878B ] nm              C:\WINDOWS\system32\DRIVERS\NMnt.sys
17:11:03.0171 4152  nm - ok
17:11:03.0187 4152  [ 3182D64AE053D6FB034F44B6DEF8034A ] Npfs            C:\WINDOWS\system32\drivers\Npfs.sys
17:11:03.0312 4152  Npfs - ok
17:11:03.0359 4152  [ 78A08DD6A8D65E697C18E1DB01C5CDCA ] Ntfs            C:\WINDOWS\system32\drivers\Ntfs.sys
17:11:03.0515 4152  Ntfs - ok
17:11:03.0531 4152  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] NtLmSsp         C:\WINDOWS\system32\lsass.exe
17:11:03.0656 4152  NtLmSsp - ok
17:11:03.0718 4152  [ 56AF4064996FA5BAC9C449B1514B4770 ] NtmsSvc         C:\WINDOWS\system32\ntmssvc.dll
17:11:03.0859 4152  NtmsSvc - ok
17:11:03.0875 4152  [ 73C1E1F395918BC2C6DD67AF7591A3AD ] Null            C:\WINDOWS\system32\drivers\Null.sys
17:11:04.0015 4152  Null - ok
17:11:04.0046 4152  [ B305F3FAD35083837EF46A0BBCE2FC57 ] NwlnkFlt        C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
17:11:04.0187 4152  NwlnkFlt - ok
17:11:04.0218 4152  [ C99B3415198D1AAB7227F2C88FD664B9 ] NwlnkFwd        C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
17:11:04.0375 4152  NwlnkFwd - ok
17:11:04.0375 4152  [ CA33832DF41AFB202EE7AEB05145922F ] ohci1394        C:\WINDOWS\system32\DRIVERS\ohci1394.sys
17:11:04.0515 4152  ohci1394 - ok
17:11:04.0562 4152  [ 7A56CF3E3F12E8AF599963B16F50FB6A ] ose             C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
17:11:04.0578 4152  ose - ok
17:11:04.0609 4152  [ F84785660305B9B903FB3BCA8BA29837 ] Parport         C:\WINDOWS\system32\drivers\Parport.sys
17:11:04.0750 4152  Parport - ok
17:11:04.0765 4152  [ BEB3BA25197665D82EC7065B724171C6 ] PartMgr         C:\WINDOWS\system32\drivers\PartMgr.sys
17:11:04.0906 4152  PartMgr - ok
17:11:04.0921 4152  [ C2BF987829099A3EAA2CA6A0A90ECB4F ] ParVdm          C:\WINDOWS\system32\drivers\ParVdm.sys
17:11:05.0062 4152  ParVdm - ok
17:11:05.0062 4152  [ 175CC28DCF819F78CAA3FBD44AD9E52A ] pccsmcfd        C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys
17:11:05.0109 4152  pccsmcfd - ok
17:11:05.0109 4152  [ 387E8DEDC343AA2D1EFBC30580273ACD ] PCI             C:\WINDOWS\system32\DRIVERS\pci.sys
17:11:05.0250 4152  PCI - ok
17:11:05.0265 4152  PCIDump - ok
17:11:05.0281 4152  [ 59BA86D9A61CBCF4DF8E598C331F5B82 ] PCIIde          C:\WINDOWS\system32\DRIVERS\pciide.sys
17:11:05.0437 4152  PCIIde - ok
17:11:05.0437 4152  [ A2A966B77D61847D61A3051DF87C8C97 ] Pcmcia          C:\WINDOWS\system32\DRIVERS\pcmcia.sys
17:11:05.0593 4152  Pcmcia - ok
17:11:05.0593 4152  PDCOMP - ok
17:11:05.0593 4152  PDFRAME - ok
17:11:05.0609 4152  PDRELI - ok
17:11:05.0609 4152  PDRFRAME - ok
17:11:05.0656 4152  [ 4350CB255AD546F4668C8B8AFD6A00A4 ] pepifilter      C:\WINDOWS\system32\DRIVERS\lv302af.sys
17:11:05.0671 4152  pepifilter - ok
17:11:05.0671 4152  perc2 - ok
17:11:05.0671 4152  perc2hib - ok
17:11:05.0796 4152  [ 6B310DE726E1A0DEFD66718A7F79B5D2 ] PID_08A0        C:\WINDOWS\system32\DRIVERS\LV302AV.SYS
17:11:05.0828 4152  PID_08A0 - ok
17:11:05.0859 4152  [ A3EDBE9053889FB24AB22492472B39DC ] PlugPlay        C:\WINDOWS\system32\services.exe
17:11:05.0953 4152  PlugPlay - ok
17:11:05.0968 4152  [ 37E5E8FFBAD35605DAEEC3224EA0E465 ] Pml Driver HPZ12 C:\WINDOWS\system32\HPZipm12.dll
17:11:05.0968 4152  Pml Driver HPZ12 ( UnsignedFile.Multi.Generic ) - warning
17:11:05.0968 4152  Pml Driver HPZ12 - detected UnsignedFile.Multi.Generic (1)
17:11:05.0984 4152  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] PolicyAgent     C:\WINDOWS\system32\lsass.exe
17:11:06.0109 4152  PolicyAgent - ok
17:11:06.0140 4152  [ EFEEC01B1D3CF84F16DDD24D9D9D8F99 ] PptpMiniport    C:\WINDOWS\system32\DRIVERS\raspptp.sys
17:11:06.0265 4152  PptpMiniport - ok
17:11:06.0281 4152  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] ProtectedStorage C:\WINDOWS\system32\lsass.exe
17:11:06.0406 4152  ProtectedStorage - ok
17:11:06.0406 4152  [ 09298EC810B07E5D582CB3A3F9255424 ] PSched          C:\WINDOWS\system32\DRIVERS\psched.sys
17:11:06.0562 4152  PSched - ok
17:11:06.0578 4152  [ 80D317BD1C3DBC5D4FE7B1678C60CADD ] Ptilink         C:\WINDOWS\system32\DRIVERS\ptilink.sys
17:11:06.0703 4152  Ptilink - ok
17:11:06.0718 4152  [ 49452BFCEC22F36A7A9B9C2181BC3042 ] PxHelp20        C:\WINDOWS\system32\Drivers\PxHelp20.sys
17:11:06.0750 4152  PxHelp20 - ok
17:11:06.0750 4152  ql1080 - ok
17:11:06.0750 4152  Ql10wnt - ok
17:11:06.0765 4152  ql12160 - ok
17:11:06.0765 4152  ql1240 - ok
17:11:06.0765 4152  ql1280 - ok
17:11:06.0796 4152  [ FE0D99D6F31E4FAD8159F690D68DED9C ] RasAcd          C:\WINDOWS\system32\DRIVERS\rasacd.sys
17:11:06.0921 4152  RasAcd - ok
17:11:06.0968 4152  [ F5BA6CACCDB66C8F048E867563203246 ] RasAuto         C:\WINDOWS\System32\rasauto.dll
17:11:07.0109 4152  RasAuto - ok
17:11:07.0125 4152  [ 11B4A627BC9614B885C4969BFA5FF8A6 ] Rasl2tp         C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
17:11:07.0265 4152  Rasl2tp - ok
17:11:07.0312 4152  [ F9A7B66EA345726EDB5862A46B1ECCD5 ] RasMan          C:\WINDOWS\System32\rasmans.dll
17:11:07.0453 4152  RasMan - ok
17:11:07.0453 4152  [ 5BC962F2654137C9909C3D4603587DEE ] RasPppoe        C:\WINDOWS\system32\DRIVERS\raspppoe.sys
17:11:07.0593 4152  RasPppoe - ok
17:11:07.0609 4152  [ FDBB1D60066FCFBB7452FD8F9829B242 ] Raspti          C:\WINDOWS\system32\DRIVERS\raspti.sys
17:11:07.0734 4152  Raspti - ok
17:11:07.0750 4152  [ 7AD224AD1A1437FE28D89CF22B17780A ] Rdbss           C:\WINDOWS\system32\DRIVERS\rdbss.sys
17:11:07.0890 4152  Rdbss - ok
17:11:07.0921 4152  [ 4912D5B403614CE99C28420F75353332 ] RDPCDD          C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
17:11:08.0062 4152  RDPCDD - ok
17:11:08.0093 4152  [ 15CABD0F7C00C47C70124907916AF3F1 ] rdpdr           C:\WINDOWS\system32\DRIVERS\rdpdr.sys
17:11:08.0234 4152  rdpdr - ok
17:11:08.0281 4152  [ 43AF5212BD8FB5BA6EED9754358BD8F7 ] RDPWD           C:\WINDOWS\system32\drivers\RDPWD.sys
17:11:08.0359 4152  RDPWD - ok
17:11:08.0390 4152  [ 263AF18AF0F3DB99F574C95F284CCEC9 ] RDSessMgr       C:\WINDOWS\system32\sessmgr.exe
17:11:08.0546 4152  RDSessMgr - ok
17:11:08.0562 4152  [ ED761D453856F795A7FE056E42C36365 ] redbook         C:\WINDOWS\system32\DRIVERS\redbook.sys
17:11:08.0703 4152  redbook - ok
17:11:08.0750 4152  [ 0E97EC96D6942CEEC2D188CC2EB69A01 ] RemoteAccess    C:\WINDOWS\System32\mprdim.dll
17:11:08.0890 4152  RemoteAccess - ok
17:11:08.0937 4152  [ E4CD1F3D84E1C2CA0B8CF7501E201593 ] RemoteRegistry  C:\WINDOWS\system32\regsvc.dll
17:11:09.0078 4152  RemoteRegistry - ok
17:11:09.0125 4152  [ 2A02E21867497DF20B8FC95631395169 ] RpcLocator      C:\WINDOWS\system32\locator.exe
17:11:09.0281 4152  RpcLocator - ok
17:11:09.0296 4152  [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] RpcSs           C:\WINDOWS\system32\rpcss.dll
17:11:09.0375 4152  RpcSs - ok
17:11:09.0406 4152  [ 4BDD71B4B521521499DFD14735C4F398 ] RSVP            C:\WINDOWS\system32\rsvp.exe
17:11:09.0562 4152  RSVP - ok
17:11:09.0609 4152  [ AFB8261B56CBA0D86AEB6DF682AF9785 ] SamSs           C:\WINDOWS\system32\lsass.exe
17:11:09.0734 4152  SamSs - ok
17:11:09.0765 4152  [ DCEC079FAD95D36C8DD5CB6D779DFE32 ] SCardSvr        C:\WINDOWS\System32\SCardSvr.exe
17:11:09.0921 4152  SCardSvr - ok
17:11:09.0953 4152  [ A050194A44D7FA8D7186ED2F4E8367AE ] Schedule        C:\WINDOWS\system32\schedsvc.dll
17:11:10.0093 4152  Schedule - ok
17:11:10.0140 4152  [ 8D04819A3CE51B9EB47E5689B44D43C4 ] sdbus           C:\WINDOWS\system32\DRIVERS\sdbus.sys
17:11:10.0281 4152  sdbus - ok
17:11:10.0312 4152  [ 90A3935D05B494A5A39D37E71F09A677 ] Secdrv          C:\WINDOWS\system32\DRIVERS\secdrv.sys
17:11:10.0390 4152  Secdrv - ok
17:11:10.0421 4152  [ BEE4CFD1D48C23B44CF4B974B0B79B2B ] seclogon        C:\WINDOWS\System32\seclogon.dll
17:11:10.0562 4152  seclogon - ok
17:11:10.0578 4152  [ 2AAC9B6ED9EDDFFB721D6452E34D67E3 ] SENS            C:\WINDOWS\system32\sens.dll
17:11:10.0734 4152  SENS - ok
17:11:10.0781 4152  [ 2EC41A96D0DC98BD119BF325E0B9F392 ] Ser2pl          C:\WINDOWS\system32\DRIVERS\ser2pl.sys
17:11:10.0828 4152  Ser2pl - ok
17:11:10.0843 4152  [ 0F29512CCD6BEAD730039FB4BD2C85CE ] Serenum         C:\WINDOWS\system32\DRIVERS\serenum.sys
17:11:10.0984 4152  Serenum - ok
17:11:11.0015 4152  [ CF24EB4F0412C82BCD1F4F35A025E31D ] Serial          C:\WINDOWS\system32\drivers\Serial.sys
17:11:11.0156 4152  Serial - ok
17:11:11.0250 4152  [ 9D38320BB32230349379DF5DDBBF7FCE ] ServiceLayer    C:\Programme\PC Connectivity Solution\ServiceLayer.exe
17:11:11.0265 4152  ServiceLayer ( UnsignedFile.Multi.Generic ) - warning
17:11:11.0265 4152  ServiceLayer - detected UnsignedFile.Multi.Generic (1)
17:11:11.0296 4152  [ 8E6B8C671615D126FDC553D1E2DE5562 ] Sfloppy         C:\WINDOWS\system32\drivers\Sfloppy.sys
17:11:11.0437 4152  Sfloppy - ok
17:11:11.0468 4152  [ CAD058D5F8B889A87CA3EB3CF624DCEF ] SharedAccess    C:\WINDOWS\System32\ipnathlp.dll
17:11:11.0640 4152  SharedAccess - ok
17:11:11.0671 4152  [ 2DB7D303C36DDD055215052F118E8E75 ] ShellHWDetection C:\WINDOWS\System32\shsvcs.dll
17:11:11.0687 4152  ShellHWDetection - ok
17:11:11.0687 4152  Simbad - ok
17:11:11.0765 4152  [ F07AF60B152221472FBDB2FECEC4896D ] SkypeUpdate     C:\Programme\Skype\Updater\Updater.exe
17:11:11.0781 4152  SkypeUpdate - ok
17:11:11.0796 4152  [ 866D538EBE33709A5C9F5C62B73B7D14 ] SLIP            C:\WINDOWS\system32\DRIVERS\SLIP.sys
17:11:11.0953 4152  SLIP - ok
17:11:11.0968 4152  Sparrow - ok
17:11:12.0000 4152  [ AB8B92451ECB048A4D1DE7C3FFCB4A9F ] splitter        C:\WINDOWS\system32\drivers\splitter.sys
17:11:12.0140 4152  splitter - ok
17:11:12.0187 4152  [ 60784F891563FB1B767F70117FC2428F ] Spooler         C:\WINDOWS\system32\spoolsv.exe
17:11:12.0218 4152  Spooler - ok
17:11:12.0234 4152  [ 50FA898F8C032796D3B1B9951BB5A90F ] sr              C:\WINDOWS\system32\DRIVERS\sr.sys
17:11:12.0328 4152  sr - ok
17:11:12.0375 4152  [ FE77A85495065F3AD59C5C65B6C54182 ] srservice       C:\WINDOWS\system32\srsvc.dll
17:11:12.0453 4152  srservice - ok
17:11:12.0515 4152  [ 47DDFC2F003F7F9F0592C6874962A2E7 ] Srv             C:\WINDOWS\system32\DRIVERS\srv.sys
17:11:12.0562 4152  Srv - ok
17:11:12.0578 4152  [ 4DF5B05DFAEC29E13E1ED6F6EE12C500 ] SSDPSRV         C:\WINDOWS\System32\ssdpsrv.dll
17:11:12.0671 4152  SSDPSRV - ok
17:11:12.0718 4152  [ A36EE93698802CD899F98BFD553D8185 ] ssmdrv          C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
17:11:12.0734 4152  ssmdrv - ok
17:11:12.0765 4152  [ EAA66218CD39F5BB1B4853A78C67C787 ] ss_bbus         C:\WINDOWS\system32\DRIVERS\ss_bbus.sys
17:11:12.0781 4152  ss_bbus - ok
17:11:12.0843 4152  [ 91765F99914ED8693D8BC76524F21581 ] ss_bmdfl        C:\WINDOWS\system32\DRIVERS\ss_bmdfl.sys
17:11:12.0859 4152  ss_bmdfl - ok
17:11:12.0875 4152  [ 840E7B738B03C10EE91D9B7D3D6EFF15 ] ss_bmdm         C:\WINDOWS\system32\DRIVERS\ss_bmdm.sys
17:11:12.0906 4152  ss_bmdm - ok
17:11:12.0906 4152  [ BC2C5985611C5356B24AEB370953DED9 ] stisvc          C:\WINDOWS\system32\wiaservc.dll
17:11:13.0093 4152  stisvc - ok
17:11:13.0125 4152  [ 77813007BA6265C4B6098187E6ED79D2 ] streamip        C:\WINDOWS\system32\DRIVERS\StreamIP.sys
17:11:13.0281 4152  streamip - ok
17:11:13.0296 4152  [ 3941D127AEF12E93ADDF6FE6EE027E0F ] swenum          C:\WINDOWS\system32\DRIVERS\swenum.sys
17:11:13.0437 4152  swenum - ok
17:11:13.0453 4152  [ 8CE882BCC6CF8A62F2B2323D95CB3D01 ] swmidi          C:\WINDOWS\system32\drivers\swmidi.sys
17:11:13.0609 4152  swmidi - ok
17:11:13.0609 4152  SwPrv - ok
17:11:13.0609 4152  symc810 - ok
17:11:13.0625 4152  symc8xx - ok
17:11:13.0625 4152  sym_hi - ok
17:11:13.0625 4152  sym_u3 - ok
17:11:13.0656 4152  [ 8B83F3ED0F1688B4958F77CD6D2BF290 ] sysaudio        C:\WINDOWS\system32\drivers\sysaudio.sys
17:11:13.0796 4152  sysaudio - ok
17:11:13.0843 4152  [ 2903FFFA2523926D6219428040DCE6B9 ] SysmonLog       C:\WINDOWS\system32\smlogsvc.exe
17:11:13.0984 4152  SysmonLog - ok
17:11:14.0031 4152  [ 05903CAC4B98908D55EA5774775B382E ] TapiSrv         C:\WINDOWS\System32\tapisrv.dll
17:11:14.0171 4152  TapiSrv - ok
17:11:14.0218 4152  [ 36772B5EAAAF42DB5C5EE6EEB0EC0AF7 ] TAPPSRV         C:\Programme\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
17:11:14.0234 4152  TAPPSRV ( UnsignedFile.Multi.Generic ) - warning
17:11:14.0234 4152  TAPPSRV - detected UnsignedFile.Multi.Generic (1)
17:11:14.0296 4152  [ 9AEFA14BD6B182D61E3119FA5F436D3D ] Tcpip           C:\WINDOWS\system32\DRIVERS\tcpip.sys
17:11:14.0328 4152  Tcpip - ok
17:11:14.0343 4152  [ 6471A66807F5E104E4885F5B67349397 ] TDPIPE          C:\WINDOWS\system32\drivers\TDPIPE.sys
17:11:14.0468 4152  TDPIPE - ok
17:11:14.0484 4152  [ C56B6D0402371CF3700EB322EF3AAF61 ] TDTCP           C:\WINDOWS\system32\drivers\TDTCP.sys
17:11:14.0625 4152  TDTCP - ok
17:11:14.0656 4152  [ 88155247177638048422893737429D9E ] TermDD          C:\WINDOWS\system32\DRIVERS\termdd.sys
17:11:14.0812 4152  TermDD - ok
17:11:14.0859 4152  [ B7DE02C863D8F5A005A7BF375375A6A4 ] TermService     C:\WINDOWS\System32\termsrv.dll
17:11:15.0015 4152  TermService - ok
17:11:15.0062 4152  [ 2DB7D303C36DDD055215052F118E8E75 ] Themes          C:\WINDOWS\System32\shsvcs.dll
17:11:15.0093 4152  Themes - ok
17:11:15.0140 4152  [ 03681A1CE77F51586903869A5AB1DEAB ] TlntSvr         C:\WINDOWS\system32\tlntsvr.exe
17:11:15.0218 4152  TlntSvr - ok
17:11:15.0218 4152  TosIde - ok
17:11:15.0250 4152  [ 626504572B175867F30F3215C04B3E2F ] TrkWks          C:\WINDOWS\system32\trkwks.dll
17:11:15.0390 4152  TrkWks - ok
17:11:15.0406 4152  [ 676DB15DDF2E0FF6EC03068DEA428B8B ] TVALD           C:\WINDOWS\system32\DRIVERS\NBSMI.sys
17:11:15.0421 4152  TVALD ( UnsignedFile.Multi.Generic ) - warning
17:11:15.0421 4152  TVALD - detected UnsignedFile.Multi.Generic (1)
17:11:15.0468 4152  [ 5787B80C2E3C5E2F56C2A233D91FA2C9 ] Udfs            C:\WINDOWS\system32\drivers\Udfs.sys
17:11:15.0593 4152  Udfs - ok
17:11:15.0609 4152  ultra - ok
17:11:15.0671 4152  [ 402DDC88356B1BAC0EE3DD1580C76A31 ] Update          C:\WINDOWS\system32\DRIVERS\update.sys
17:11:15.0812 4152  Update - ok
17:11:15.0843 4152  [ 1DFD8975D8C89214B98D9387C1125B49 ] upnphost        C:\WINDOWS\System32\upnphost.dll
17:11:15.0937 4152  upnphost - ok
17:11:15.0984 4152  [ 9B11E6118958E63E1FEF129466E2BDA7 ] UPS             C:\WINDOWS\System32\ups.exe
17:11:16.0109 4152  UPS - ok
17:11:16.0140 4152  [ E919708DB44ED8543A7C017953148330 ] usbaudio        C:\WINDOWS\system32\drivers\usbaudio.sys
17:11:16.0296 4152  usbaudio - ok
17:11:16.0359 4152  [ 173F317CE0DB8E21322E71B7E60A27E8 ] usbccgp         C:\WINDOWS\system32\DRIVERS\usbccgp.sys
17:11:16.0515 4152  usbccgp - ok
17:11:16.0531 4152  [ 65DCF09D0E37D4C6B11B5B0B76D470A7 ] usbehci         C:\WINDOWS\system32\DRIVERS\usbehci.sys
17:11:16.0656 4152  usbehci - ok
17:11:16.0671 4152  [ 1AB3CDDE553B6E064D2E754EFE20285C ] usbhub          C:\WINDOWS\system32\DRIVERS\usbhub.sys
17:11:16.0812 4152  usbhub - ok
17:11:16.0843 4152  [ A717C8721046828520C9EDF31288FC00 ] usbprint        C:\WINDOWS\system32\DRIVERS\usbprint.sys
17:11:16.0984 4152  usbprint - ok
17:11:17.0031 4152  [ A0B8CF9DEB1184FBDD20784A58FA75D4 ] usbscan         C:\WINDOWS\system32\DRIVERS\usbscan.sys
17:11:17.0156 4152  usbscan - ok
17:11:17.0187 4152  [ A32426D9B14A089EAA1D922E0C5801A9 ] USBSTOR         C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
17:11:17.0312 4152  USBSTOR - ok
17:11:17.0343 4152  [ 26496F9DEE2D787FC3E61AD54821FFE6 ] usbuhci         C:\WINDOWS\system32\DRIVERS\usbuhci.sys
17:11:17.0468 4152  usbuhci - ok
17:11:17.0468 4152  [ 0D3A8FAFCEACD8B7625CD549757A7DF1 ] VgaSave         C:\WINDOWS\System32\drivers\vga.sys
17:11:17.0609 4152  VgaSave - ok
17:11:17.0625 4152  ViaIde - ok
17:11:17.0640 4152  [ A5A712F4E880874A477AF790B5186E1D ] VolSnap         C:\WINDOWS\system32\drivers\VolSnap.sys
17:11:17.0781 4152  VolSnap - ok
17:11:17.0812 4152  [ 68F106273BE29E7B7EF8266977268E78 ] VSS             C:\WINDOWS\System32\vssvc.exe
17:11:17.0906 4152  VSS - ok
17:11:17.0953 4152  [ 7B353059E665F8B7AD2BBEAEF597CF45 ] W32Time         C:\WINDOWS\system32\w32time.dll
17:11:18.0093 4152  W32Time - ok
17:11:18.0187 4152  [ B1F126E7E28877106D60E6FF3998D033 ] w39n51          C:\WINDOWS\system32\DRIVERS\w39n51.sys
17:11:18.0312 4152  w39n51 - ok
17:11:18.0328 4152  [ E20B95BAEDB550F32DD489265C1DA1F6 ] Wanarp          C:\WINDOWS\system32\DRIVERS\wanarp.sys
17:11:18.0468 4152  Wanarp - ok
17:11:18.0484 4152  WDICA - ok
17:11:18.0500 4152  [ 6768ACF64B18196494413695F0C3A00F ] wdmaud          C:\WINDOWS\system32\drivers\wdmaud.sys
17:11:18.0640 4152  wdmaud - ok
17:11:18.0656 4152  [ 81727C9873E3905A2FFC1EBD07265002 ] WebClient       C:\WINDOWS\System32\webclnt.dll
17:11:18.0796 4152  WebClient - ok
17:11:18.0875 4152  [ 6F3F3973D97714CC5F906A19FE883729 ] winmgmt         C:\WINDOWS\system32\wbem\WMIsvc.dll
17:11:19.0000 4152  winmgmt - ok
17:11:19.0078 4152  [ F10075C2EC96D2EB118012E78ECE2FC2 ] WinRM           C:\WINDOWS\system32\WsmSvc.dll
17:11:19.0187 4152  WinRM - ok
17:11:19.0250 4152  [ C51B4A5C05A5475708E3C81C7765B71D ] WmdmPmSN        C:\WINDOWS\system32\MsPMSNSv.dll
17:11:19.0343 4152  WmdmPmSN - ok
17:11:19.0421 4152  [ FFA4D901D46D07A5BAB2D8307FBB51A6 ] Wmi             C:\WINDOWS\System32\advapi32.dll
17:11:19.0468 4152  Wmi - ok
17:11:19.0484 4152  [ 93908111BA57A6E60EC2FA2DE202105C ] WmiApSrv        C:\WINDOWS\system32\wbem\wmiapsrv.exe
17:11:19.0640 4152  WmiApSrv - ok
17:11:19.0750 4152  [ BF05650BB7DF5E9EBDD25974E22403BB ] WMPNetworkSvc   C:\Programme\Windows Media Player\WMPNetwk.exe
17:11:19.0859 4152  WMPNetworkSvc - ok
17:11:19.0968 4152  [ DCF3E3EDF5109EE8BC02FE6E1F045795 ] WPFFontCache_v0400 C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe
17:11:20.0031 4152  WPFFontCache_v0400 - ok
17:11:20.0078 4152  [ 300B3E84FAF1A5C1F791C159BA28035D ] wscsvc          C:\WINDOWS\system32\wscsvc.dll
17:11:20.0218 4152  wscsvc - ok
17:11:20.0218 4152  WSearch - ok
17:11:20.0234 4152  [ C98B39829C2BBD34E454150633C62C78 ] WSTCODEC        C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
17:11:20.0390 4152  WSTCODEC - ok
17:11:20.0406 4152  [ 7B4FE05202AA6BF9F4DFD0E6A0D8A085 ] wuauserv        C:\WINDOWS\system32\wuauserv.dll
17:11:20.0546 4152  wuauserv - ok
17:11:20.0562 4152  [ F15FEAFFFBB3644CCC80C5DA584E6311 ] WudfPf          C:\WINDOWS\system32\DRIVERS\WudfPf.sys
17:11:20.0625 4152  WudfPf - ok
17:11:20.0625 4152  [ 28B524262BCE6DE1F7EF9F510BA3985B ] WudfRd          C:\WINDOWS\system32\DRIVERS\wudfrd.sys
17:11:20.0656 4152  WudfRd - ok
17:11:20.0687 4152  [ 05231C04253C5BC30B26CBAAE680ED89 ] WudfSvc         C:\WINDOWS\System32\WUDFSvc.dll
17:11:20.0718 4152  WudfSvc - ok
17:11:20.0796 4152  [ C4F109C005F6725162D2D12CA751E4A7 ] WZCSVC          C:\WINDOWS\System32\wzcsvc.dll
17:11:20.0953 4152  WZCSVC - ok
17:11:20.0984 4152  [ 0ADA34871A2E1CD2CAAFED1237A47750 ] xmlprov         C:\WINDOWS\System32\xmlprov.dll
17:11:21.0140 4152  xmlprov - ok
17:11:21.0140 4152  ================ Scan global ===============================
17:11:21.0203 4152  [ 2C60091CA5F67C3032EAB3B30390C27F ] C:\WINDOWS\system32\basesrv.dll
17:11:21.0250 4152  [ E62178BC21EAC63A3B9A2DBD46C1B505 ] C:\WINDOWS\system32\winsrv.dll
17:11:21.0265 4152  [ E62178BC21EAC63A3B9A2DBD46C1B505 ] C:\WINDOWS\system32\winsrv.dll
17:11:21.0281 4152  [ A3EDBE9053889FB24AB22492472B39DC ] C:\WINDOWS\system32\services.exe
17:11:21.0296 4152  [Global] - ok
17:11:21.0296 4152  ================ Scan MBR ==================================
17:11:21.0312 4152  [ 72B8CE41AF0DE751C946802B3ED844B4 ] \Device\Harddisk0\DR0
17:11:21.0703 4152  \Device\Harddisk0\DR0 - ok
17:11:21.0703 4152  ================ Scan VBR ==================================
17:11:21.0718 4152  [ F087E5F38E1FB375504A55CF3DE16738 ] \Device\Harddisk0\DR0\Partition1
17:11:21.0718 4152  \Device\Harddisk0\DR0\Partition1 - ok
17:11:21.0718 4152  ============================================================
17:11:21.0718 4152  Scan finished
17:11:21.0718 4152  ============================================================
17:11:21.0828 4472  Detected object count: 16
17:11:21.0828 4472  Actual detected object count: 16
17:12:20.0921 4472  FsUsbExDisk ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0921 4472  FsUsbExDisk ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0921 4472  FsUsbExService ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0921 4472  FsUsbExService ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0921 4472  hpqcxs08 ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0921 4472  hpqcxs08 ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0937 4472  hpqddsvc ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0937 4472  hpqddsvc ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0937 4472  HPSLPSVC ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0937 4472  HPSLPSVC ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0937 4472  InCDfs ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0937 4472  InCDfs ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0937 4472  InCDPass ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0937 4472  InCDPass ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0937 4472  InCDrec ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0937 4472  InCDrec ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0937 4472  incdrm ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0937 4472  incdrm ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0937 4472  MACNDIS5 ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0937 4472  MACNDIS5 ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0937 4472  MZCCntrl ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0937 4472  MZCCntrl ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0937 4472  Net Driver HPZ12 ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0937 4472  Net Driver HPZ12 ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0953 4472  Pml Driver HPZ12 ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0953 4472  Pml Driver HPZ12 ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0953 4472  ServiceLayer ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0953 4472  ServiceLayer ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0953 4472  TAPPSRV ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0953 4472  TAPPSRV ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:20.0953 4472  TVALD ( UnsignedFile.Multi.Generic ) - skipped by user
17:12:20.0953 4472  TVALD ( UnsignedFile.Multi.Generic ) - User select action: Skip 
17:12:50.0031 3668  Deinitialize success
         
.

Gruß,
Tatjana

Alt 19.04.2013, 16:22   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



Dann bitte jetzt Combofix ausführen:

Scan mit Combofix
WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link
  • WICHTIG: Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
    Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
  • Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!
  • Wenn Combofix fertig ist, wird es eine Logfile erstellen.
  • Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 19.04.2013, 16:56   #11
Rocco68
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



Combofix lief durch bis zur Stufe 50, danach kam "Löschen..." und gleich darauf brach mir alles ab und ich erhielt den Bluescreen

Gruß,
Tatjana

Alt 20.04.2013, 02:30   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



Starte Windows neu, lösch die alte combofix.exe, lade CF neu runter und probier es bitte nochmal.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.04.2013, 09:23   #13
Rocco68
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



Ich habe es jetzt nochmal probiert - mit demselben Ergebnis: Bluescreen, sobald das Löschen beginnen soll.

Die Fehlermeldungen auf dem Bluescreen waren einmal BAD_POOL_HEADER und einmal IRQL_NOT_LESS_OR_EQUAL.

Gruß,
Tatjana

Alt 20.04.2013, 17:34   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



CF bitte nochmal neu runterladen auf den Desktop, starte dann Windows in den abgesicherten Modus mit Netzwerktreibern und starte CF dann bitte nochmal


Abgesicherter Modus zur Bereinigung
  • Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
  • Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

    Windows im abgesicherten Modusstarten
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 20.04.2013, 18:24   #15
Rocco68
 
ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Standard

ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe



Hallo cosinus,

im abgesicherten Modus lief CF jetzt durch:

Code:
ATTFilter
ComboFix 13-04-20.01 - USER 20.04.2013  18:53:43.6.2 - x86 NETWORK
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1022.671 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\USER\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {C19476D9-52BC-4E93-8AF3-CCF59F7AE8FE}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\USER\Anwendungsdaten\Caowyr\kivawe.exe
c:\dokumente und einstellungen\USER\Anwendungsdaten\system32
c:\windows\system32\SET10.tmp
c:\windows\system32\SET11.tmp
c:\windows\system32\SET12.tmp
c:\windows\system32\SET16.tmp
c:\windows\system32\SET18.tmp
c:\windows\system32\SET1A.tmp
c:\windows\system32\SET1F.tmp
c:\windows\system32\SET1FE.tmp
c:\windows\system32\SET1FF.tmp
c:\windows\system32\SET205.tmp
c:\windows\system32\SET22D.tmp
c:\windows\system32\SET38.tmp
c:\windows\system32\SET3C.tmp
c:\windows\system32\SET44.tmp
c:\windows\system32\SET7.tmp
c:\windows\system32\SET9.tmp
c:\windows\system32\SETA.tmp
c:\windows\system32\SETE7.tmp
c:\windows\system32\SETE8.tmp
c:\windows\system32\SETE9.tmp
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-03-20 bis 2013-04-20  ))))))))))))))))))))))))))))))
.
.
2013-04-20 15:58 . 2013-04-20 16:35	--------	d-----w-	c:\programme\Secure Banking
2013-04-13 15:47 . 2013-04-13 15:48	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2013-04-13 15:47 . 2013-04-04 12:50	22856	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-03-21 18:24 . 2013-02-12 00:32	12928	-c----w-	c:\windows\system32\dllcache\usb8023.sys
2013-03-21 18:24 . 2013-02-12 00:32	12928	-c----w-	c:\windows\system32\dllcache\usb8023x.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-04-13 15:35 . 2012-04-16 06:58	691592	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-04-13 15:35 . 2011-05-15 06:56	71048	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-08 08:36 . 2006-02-28 12:00	293888	----a-w-	c:\windows\system32\winsrv.dll
2013-03-07 15:56 . 2004-08-04 00:50	2031104	----a-w-	c:\windows\system32\ntkrnlpa.exe
2013-03-07 15:56 . 2006-02-28 12:00	2152448	----a-w-	c:\windows\system32\ntoskrnl.exe
2013-03-02 01:57 . 2006-02-28 12:00	1867392	----a-w-	c:\windows\system32\win32k.sys
2013-03-02 01:53 . 2006-02-28 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2013-03-02 01:53 . 2006-02-28 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2013-03-02 01:53 . 2006-02-28 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2013-03-02 01:08 . 2006-02-28 12:00	385024	----a-w-	c:\windows\system32\html.iec
2013-02-27 07:56 . 2007-03-29 10:27	2067456	----a-w-	c:\windows\system32\mstscax.dll
2013-02-12 00:32 . 2008-09-17 14:03	12928	------w-	c:\windows\system32\drivers\usb8023x.sys
2013-02-12 00:32 . 2006-02-28 12:00	12928	----a-w-	c:\windows\system32\drivers\usb8023.sys
2013-01-26 03:55 . 2006-02-28 12:00	552448	----a-w-	c:\windows\system32\oleaut32.dll
2012-03-08 07:51 . 2012-03-08 07:49	18590304	----a-w-	c:\programme\PDFCreator-1_2_3_setup.exe
2011-12-26 09:09 . 2011-12-26 09:09	0	----a-w-	c:\programme\WEB.DE_Toolbar_IE_Setup.exe
2007-10-28 11:14 . 2007-10-28 11:14	23876904	----a-w-	c:\programme\SkypeSetup.exe
2012-06-01 15:38 . 2012-06-29 17:06	85472	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="c:\programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-07-30 67128]
"AutoStartNPSAgent"="c:\programme\Samsung\Samsung New PC Studio\NPSAgent.exe" [2011-08-11 102400]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2012-07-13 17418928]
"1und1Dispatcher"="c:\programme\1und1Softwareaktualisierung\SchedDispatcher.exe" [2013-01-28 223600]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-03-10 28160]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-15 88203]
"THotkey"="c:\programme\Toshiba\Toshiba Applet\thotkey.exe" [2006-08-25 356352]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 90112]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 15691264]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2010-01-27 198160]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 63712]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-08 348664]
"MailCheck IE Broker"="c:\programme\WEB.DE MailCheck\IE\WEB.DE_MailCheck_Broker.exe" [2013-02-04 1513536]
"SearchSettings"="c:\programme\Gemeinsame Dateien\Spigot\Search Settings\SearchSettings.exe" [2013-02-23 1297728]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
2007-03-16 09:45	63712	----a-w-	c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-01-11 21:16	39792	----a-w-	c:\programme\Adobe\Reader 8.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-05-08 15:24	54840	----a-w-	c:\programme\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 08:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SwPrv"=3 (0x3)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\WEB.DE\\WEB.DE MultiMessenger\\MESSENGR.EXE"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfcCopy.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxs08.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programme\\HP\\HP Software Update\\HPWUCli.exe"=
"c:\\Programme\\HP\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Programme\\Google\\Google Earth\\plugin\\geplugin.exe"=
"c:\\Programme\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Programme\\Samsung\\Samsung New PC Studio\\npsasvr.exe"=
"c:\\Programme\\Samsung\\Samsung New PC Studio\\npsvsvr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"Client Server Runtime Process"= c:\dokumente und einstellungen\USER\Anwendungsdaten\System32\csrss.exe
"Host-process Windows (Rundll32.exe)"= c:\dokumente und einstellungen\USER\anwendungsdaten\system32\csrss.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*:Disabled:Windows-Remoteverwaltung 
"13573:UDP"= 13573:UDP:UDP 13573
"26550:TCP"= 26550:TCP:TCP 26550
.
S1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [17.07.2012 13:19 36000]
S2 AntiVirMailService;Avira Email Schutz;c:\programme\Avira\AntiVir Desktop\avmailc.exe [17.07.2012 13:19 375760]
S2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [17.07.2012 13:19 86224]
S2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [17.07.2012 13:19 465360]
S2 Application Updater;Application Updater;c:\programme\Application Updater\ApplicationUpdater.exe [23.02.2013 17:54 805752]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [11.08.2011 17:32 233472]
S2 gupdate1c9c5dc46160036;Google Update Service (gupdate1c9c5dc46160036);c:\programme\Google\Update\GoogleUpdate.exe [25.04.2009 21:30 133104]
S2 MBAMScheduler;MBAMScheduler;c:\programme\Malwarebytes' Anti-Malware\mbamscheduler.exe [13.04.2013 17:47 418376]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [13.04.2013 17:47 701512]
S2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [01.04.2009 18:06 61440]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [13.07.2012 13:28 160944]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.Sys [11.08.2011 17:32 36608]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [01.04.2009 18:06 17280]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [13.04.2013 17:47 22856]
S3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\drivers\ss_bbus.sys [11.08.2011 17:32 90112]
S3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\drivers\ss_bmdfl.sys [11.08.2011 17:32 14976]
S3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\drivers\ss_bmdm.sys [11.08.2011 17:32 121856]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPService	REG_MULTI_SZ   	HPSLPSVC
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-04-11 16:04	1642448	----a-w-	c:\programme\Google\Chrome\Application\26.0.1410.64\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-04-20 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-16 15:35]
.
2013-04-20 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-25 19:29]
.
2013-04-20 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-04-25 19:29]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
mStart Page = about:blank
uInternet Settings,ProxyOverride = <local>
uSearchAssistant = hxxp://www.google.com/ie
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
Handler: webde - {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - c:\programme\WEB.DE MailCheck\IE\WEB.DE_MailCheck.dll
FF - ProfilePath - c:\dokumente und einstellungen\USER\Anwendungsdaten\Mozilla\Firefox\Profiles\ekenqd92.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - ExtSQL: !HIDDEN! 2009-01-21 16:28; {3112ca9c-de6d-4884-a869-9855de68056c}; c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}
FF - ExtSQL: !HIDDEN! 2009-10-25 15:42; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - ExtSQL: !HIDDEN! 2010-03-25 11:11; smartwebprinting@hp.com; c:\programme\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-{084860E7-8888-AD7B-4AFD-B2535A2B9141} - c:\dokumente und einstellungen\USER\Anwendungsdaten\Caowyr\kivawe.exe
HKLM-Run-BabylonToolbar - c:\programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe
HKLM-Run-NPSStartup - (no file)
MSConfigStartUp-mmtask - c:\program files\MusicMatch\MusicMatch Jukebox\mmtask.exe
MSConfigStartUp-swg - c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
AddRemove-3A5DEFA413DDE699DBA6EBE0A63534ACA524D30F - c:\progra~1\DIFX\270581355A767BF1\dpinst.exe
AddRemove-6194C28A8F62DD817EA1B918E6E46E806A21B452 - c:\progra~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe
AddRemove-65B6FE5418CE28F4D72543FB2D964C3CEC83F161 - c:\progra~1\DIFX\7B44739871F4D539FA473F57A832EA4B6A59EF06\DPInst.exe
AddRemove-BabylonToolbar - c:\programme\BabylonToolbar\BabylonToolbar\1.4.19.19\uninstall.exe
AddRemove-eMule - c:\programme\eMule\Uninstall.exe
AddRemove-FoxTab PDF Converter - c:\programme\FoxTabPDFConverter\\ftpdf_inst.exe
AddRemove-InterActual Player - c:\program files\InterActual\InterActual Player\inuninst.exe
AddRemove-Notepad++ - c:\programme\Notepad++\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-04-20 19:02
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_169_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_7_700_169_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'winlogon.exe'(692)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\ACTIVEDS.dll
.
Zeit der Fertigstellung: 2013-04-20  19:04:50
ComboFix-quarantined-files.txt  2013-04-20 17:04
.
Vor Suchlauf: 6 Verzeichnis(se), 75.545.030.656 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 76.147.478.528 Bytes frei
.
- - End Of File - - 509F8A3538994A27AC254874CAC1F84D
         
Gruß,
Tatjana

Antwort

Themen zu ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe
0x8007042, 32 bit, babylontoolbar, bho, bildschirm, desktop, downloader, error, fehler, flash player, iexplore.exe, microsoft office 2003, mozilla, officejet, pdfforge toolbar, programm, registry, rogue.drivecleaner, security, server, svchost, tr/dldr.recslurp.a.36, tr/drop.sirefef.pj.8, tr/spy.zbot.eb.318, tr/spy.zbot.kfmf, trojan.agent, windows internet



Ähnliche Themen: ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe


  1. Brief von Telekom: Sie sind mit ZeuS/ZBot-Trojaner infiziert
    Log-Analyse und Auswertung - 10.10.2013 (3)
  2. Trojaner Zeus/ZBot Telekom Abuse Brief und Mail
    Log-Analyse und Auswertung - 06.09.2013 (13)
  3. ZeuS/ZBot Trojaner laut Telekom
    Log-Analyse und Auswertung - 28.08.2013 (10)
  4. ZeuS/Zbot Trojaner, was tun? Avira schon durchlaufen lassen
    Plagegeister aller Art und deren Bekämpfung - 24.04.2013 (36)
  5. Zeus/ZBot Trojaner eingefangen! Welcher Computer ist betroffen?
    Log-Analyse und Auswertung - 18.04.2013 (8)
  6. 4x | ZeuS/ZBot-Trojaner - MBAM blockiert IP-Angriffe
    Mülltonne - 17.04.2013 (1)
  7. 3x | ZeuS/ZBot-Trojaner - MBAM blockiert IP-Angriffe
    Mülltonne - 17.04.2013 (1)
  8. 2x | ZeuS/ZBot-Trojaner - MBAM meldet IP-Angriffe
    Mülltonne - 17.04.2013 (1)
  9. Zeus/ZBot TRojaner
    Log-Analyse und Auswertung - 20.02.2013 (12)
  10. Zeus/Zbot Trojaner Meldung von der Telekom
    Plagegeister aller Art und deren Bekämpfung - 22.01.2013 (7)
  11. Trojaner ZeuS/ZBot Telekom Brief
    Plagegeister aller Art und deren Bekämpfung - 15.12.2012 (20)
  12. Brief von der Telekom, Trojaner, ZeuS/ZBot infiziert..?
    Plagegeister aller Art und deren Bekämpfung - 08.12.2012 (15)
  13. Brief von der Telekom, Trojaner, ZeuS/ZBot
    Plagegeister aller Art und deren Bekämpfung - 02.12.2012 (13)
  14. Telekombrief ZeuS/ZBot (Online-Banking-Trojaner)
    Log-Analyse und Auswertung - 29.11.2012 (37)
  15. Online-Banking-Trojaner bzw schädliche ZeuS/ZBot-Software
    Plagegeister aller Art und deren Bekämpfung - 19.11.2012 (9)
  16. Trojaner ZeuS/ZBot
    Log-Analyse und Auswertung - 11.10.2012 (1)
  17. Zeus-Trojaner verstärkt Angriffe auf mTANs
    Nachrichten - 07.08.2012 (0)

Zum Thema ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe - Hallo zusammen, durch einen dummen Fehler (Download eines gefakten Adobe-Flashplayer-Updates) habe ich mir den Online-Banking-Trojaner eingefangen und erhielt die Bestätigung hierüber von der Telekom mittels Brief. Bisher nutzte ich nur - ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe...
Archiv
Du betrachtest: ZeuS/ZBot-Trojaner in Quarantäne - MBAM meldet IP-Angriffe auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.