Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bundespolizei-Ukash (anderer Rechner mit Windows XP) (https://www.trojaner-board.de/103866-bundespolizei-ukash-anderer-rechner-windows-xp.html)

CSS 04.10.2011 11:23
Bundespolizei-Ukash (anderer Rechner mit Windows XP)
 
Guten Tag zusammen.
Habe wieder einmal den super Polizeivirus-Ukash
OTL scan ausgeführt :OTL Logfile:
Code:
OTL logfile created on: 04.10.2011 12:11:42 - Run 3
OTL by OldTimer - Version 3.2.29.1    Folder = G:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
989,17 Mb Total Physical Memory | 826,48 Mb Available Physical Memory | 83,55% Memory free
2,33 Gb Paging File | 2,29 Gb Available in Paging File | 98,21% Paging File free
Paging file location(s): C:\pagefile.sys 1488 2976 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 10,81 Gb Total Space | 4,70 Gb Free Space | 43,50% Space Free | Partition Type: NTFS
Drive D: | 26,78 Gb Total Space | 24,50 Gb Free Space | 91,48% Space Free | Partition Type: NTFS
Drive E: | 36,90 Gb Total Space | 24,61 Gb Free Space | 66,69% Space Free | Partition Type: NTFS
Drive G: | 999,70 Mb Total Space | 999,13 Mb Free Space | 99,94% Space Free | Partition Type: FAT
 
Computer Name: WILLI | User Name: Teproma | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.10.04 12:04:14 | 000,582,656 | ---- | M] (OldTimer Tools) -- G:\OTL.exe
PRC - [2008.04.14 08:52:40 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cmd.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (TUWinStylerThemeSvc)
SRV - [2011.06.29 09:02:39 | 000,567,464 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe -- (AntiVirFirewallService)
SRV - [2011.06.29 09:02:39 | 000,428,200 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2011.06.29 09:02:39 | 000,340,136 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2011.06.29 09:02:39 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.04.27 09:01:28 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009.02.06 15:09:16 | 001,263,872 | ---- | M] (Matrox Graphics Inc.) [Auto | Stopped] -- c:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe -- (Matrox Centering Service)
SRV - [2009.02.06 15:08:28 | 000,344,832 | ---- | M] (Matrox Graphics Inc) [Auto | Stopped] -- c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe -- (Matrox.Pdesk.ServicesHost)
SRV - [2007.04.04 09:48:42 | 000,087,560 | ---- | M] (Matrox Graphics Inc.) [Auto | Stopped] -- C:\WINDOWS\system32\mgabg.exe -- (MGABGEXE)
SRV - [2007.02.09 20:39:08 | 000,407,072 | ---- | M] (Acronis) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2007.01.12 23:47:22 | 000,707,344 | ---- | M] (O&O Software GmbH) [Auto | Stopped] -- C:\WINDOWS\system32\oodag.exe -- (O&O Defrag)
SRV - [2006.11.23 16:45:46 | 000,024,072 | ---- | M] (TuneUp Software GmbH) [On_Demand | Stopped] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2002.03.19 12:15:46 | 000,036,864 | ---- | M] (D-Link) [On_Demand | Stopped] -- C:\Programme\WZCBDL Service\WZCBDLS.exe -- (WZCBDLService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.06.29 09:02:40 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.06.29 09:02:40 | 000,106,904 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avfwot.sys -- (avfwot)
DRV - [2011.06.29 09:02:40 | 000,082,952 | ---- | M] (Avira GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avfwim.sys -- (avfwim)
DRV - [2011.06.29 09:02:40 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.12.25 12:26:30 | 006,039,584 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009.12.11 12:39:58 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.12.11 12:38:22 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.11.18 01:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 01:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2009.10.30 13:49:56 | 000,176,768 | R--- | M] (Realtek Semiconductor Corporation                          ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2009.02.06 14:19:52 | 000,350,592 | ---- | M] (Matrox Graphics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\g400dhm.sys -- (G400DH)
DRV - [2008.04.13 23:05:40 | 000,032,768 | ---- | M] (SiS Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC)
DRV - [2007.04.16 21:46:00 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM)
DRV - [2007.04.16 14:58:38 | 000,392,320 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter)
DRV - [2007.04.16 14:58:38 | 000,032,768 | ---- | M] (Acronis) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2007.04.16 14:58:32 | 000,114,048 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\snapman.sys -- (snapman)
DRV - [2005.11.24 01:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2005.04.12 10:41:20 | 000,004,608 | ---- | M] (Elaborate Bytes AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ElbyDelay.sys -- (ElbyDelay)
DRV - [2004.05.24 14:35:06 | 000,059,520 | ---- | M] (AVM Berlin) [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\drivers\avmport.sys -- (AVMPORT)
DRV - [2003.09.09 13:12:04 | 000,323,008 | ---- | M] (D-Link Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\A3AB.sys -- (A3AB) D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB)
DRV - [2002.05.22 16:27:54 | 000,028,200 | ---- | M] (D-Link Corporation) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\NIOC.sys -- (NIOC)
DRV - [2001.08.18 05:33:12 | 000,322,432 | ---- | M] (Matrox Graphics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\g400m.sys -- (G400)
DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
DRV - [2000.07.14 14:00:48 | 000,005,500 | R--- | M] (Matrox Graphics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mgabg.sys -- (mgabg)
DRV - [2000.07.11 17:31:26 | 000,200,192 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NETFRITZ.SYS -- (NETFRITZ)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
 
 
O1 HOSTS File: ([2003.04.02 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (IE7pro BHO) - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\Internet Explorer\PLUGINS\IE7pro\IE7pro.dll (IE7pro.com)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [PDFPrint] E:\Nils\pdf24\pdf24.exe (Geek Software GmbH)
O4 - HKCU..\Run: [{7D3FC8EE-CA13-5E47-56CB-EFAB5CC2C6F4}] C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Yweqig\atkut.exe ()
O4 - HKCU..\Run: [4Y3Y0C3AVV3VWC6ZDPIAAKRDRBL] C:\Recycle.Bi\A96C465E4BD.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe (AVM Berlin)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\Internet Explorer\PLUGINS\IE7pro\IE7pro.dll (IE7pro.com)
O9 - Extra 'Tools' menuitem : IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\Internet Explorer\PLUGINS\IE7pro\IE7pro.dll (IE7pro.com)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} hxxp://download.microsoft.com/download/e/7/3/e7345c16-80aa-4488-ae10-9ac6be844f99/OGAControl.cab (Office Genuine Advantage Validation Tool)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} hxxp://office.microsoft.com/officeupdate/content/opuc3.cab (Office Update Installation Engine)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190103069552 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0BEF5F9E-A6A2-44B2-ACA8-4BAC119CC134}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4E296A27-748D-4936-9AC6-95D938236782}: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{82A17C66-7117-4B34-9286-98FA62F118F3}: NameServer = 192.168.0.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\mahmud.exe) -C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\mahmud.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (relog_ap) -C:\WINDOWS\System32\relog_ap.dll (Acronis)
O31 - SafeBoot: UseAlternatShell - 1
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.10.18 14:18:02 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{3a7d2856-c012-11dc-8c4e-404e57434431}\Shell - "" = AutoRun
O33 - MountPoints2\{3a7d2856-c012-11dc-8c4e-404e57434431}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3a7d2856-c012-11dc-8c4e-404e57434431}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (OODBS)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.09.30 08:17:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Yweqig
[2011.09.30 08:17:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Udtu
[2011.09.30 08:17:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Omim
[2011.09.30 08:17:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Icet
[2011.09.20 13:27:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
 
========== Files - Modified Within 30 Days ==========
 
[2011.10.04 12:08:32 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.10.04 12:08:11 | 006,460,390 | ---- | M] () -- C:\WINDOWS\System32\OODBS.lor
[2011.10.04 11:28:02 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.10.04 07:35:17 | 000,169,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\mahmud.exe
[2011.10.04 07:32:28 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{7249D272-ED12-459F-8885-DEF9E6451EF3}.job
[2011.10.03 09:00:00 | 000,000,408 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2011.09.20 13:14:51 | 000,476,900 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.09.20 13:14:51 | 000,435,310 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.09.20 13:14:51 | 000,091,614 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.09.20 13:14:51 | 000,068,834 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.09.19 10:52:00 | 000,000,008 | ---- | M] () -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\egp7chgo83meztag.dat
[2011.09.18 10:30:22 | 000,010,240 | ---- | M] () -- C:\Dokumente und Einstellungen\Teproma\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== Files Created - No Company Name ==========
 
[2011.10.04 07:35:17 | 000,169,472 | ---- | C] () -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\mahmud.exe
[2011.09.19 10:52:00 | 000,000,008 | ---- | C] () -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\egp7chgo83meztag.dat
[2011.01.14 12:58:26 | 000,073,728 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2011.01.14 12:38:18 | 002,026,604 | R--- | C] () -- C:\WINDOWS\System32\igkrng500.bin
[2011.01.14 12:38:18 | 000,442,964 | R--- | C] () -- C:\WINDOWS\System32\igcompkrng500.bin
[2011.01.14 12:38:10 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v5002.dll
[2010.05.31 22:27:12 | 000,073,728 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.02.23 16:23:26 | 000,000,089 | ---- | C] () -- C:\WINDOWS\SPL7019.DAT
[2009.04.02 15:42:14 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2009.04.02 08:36:41 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.10.27 18:03:47 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL
[2008.05.26 23:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 23:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 23:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008.05.26 22:59:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008.05.26 22:59:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
[2008.04.10 10:52:25 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.10.02 10:57:21 | 000,010,240 | ---- | C] () -- C:\Dokumente und Einstellungen\Teproma\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.03.05 13:34:28 | 000,676,224 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.DLL
[2007.01.30 12:46:32 | 000,000,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Teproma\Lokale Einstellungen\Anwendungsdaten\d3d9caps.dat
[2007.01.30 12:46:31 | 000,000,768 | ---- | C] () -- C:\Dokumente und Einstellungen\Teproma\Lokale Einstellungen\Anwendungsdaten\d3d8caps.dat
[2006.12.31 08:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.11.27 10:25:29 | 000,003,411 | ---- | C] () -- C:\WINDOWS\tm.ini
[2006.10.25 08:05:45 | 000,034,816 | ---- | C] () -- C:\WINDOWS\System32\BGData.bin
[2006.10.18 16:28:03 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\CNMVS2J.DLL
[2006.10.18 16:27:08 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\CNMCP2J.EXE
[2006.10.18 16:05:04 | 000,200,192 | ---- | C] () -- C:\WINDOWS\System32\drivers\NETFRITZ.SYS
[2006.10.18 15:56:03 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.10.18 14:22:12 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2006.10.18 14:14:00 | 000,022,880 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.04.23 22:02:10 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.exe
[2003.08.11 05:46:41 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2003.08.11 05:45:29 | 000,114,176 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2003.04.02 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2003.04.02 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2003.04.02 14:00:00 | 000,476,900 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2003.04.02 14:00:00 | 000,435,310 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2003.04.02 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2003.04.02 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2003.04.02 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2003.04.02 14:00:00 | 000,091,614 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2003.04.02 14:00:00 | 000,068,834 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2003.04.02 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2003.04.02 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2003.04.02 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2003.04.02 14:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2003.04.02 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2003.04.02 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.02.19 01:26:28 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2002.06.09 13:07:30 | 000,053,315 | ---- | C] () -- C:\WINDOWS\System32\DevCtrl.dll
 
========== LOP Check ==========
 
[2007.04.17 13:00:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2008.10.27 18:03:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2010.06.10 12:11:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2006.10.24 09:06:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2009.12.11 12:24:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Matrox
[2009.12.11 12:24:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Matrox Graphics Inc
[2010.04.25 10:35:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sPlan70
[2009.12.11 11:02:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009.02.13 14:51:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\EDrawings
[2011.03.18 11:07:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\elsterformular
[2006.10.24 11:50:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\FRITZ!
[2011.09.30 08:17:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Icet
[2007.04.16 15:49:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\IE7pro
[2011.09.30 08:17:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Omim
[2007.04.19 09:05:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\TuneUp Software
[2011.09.30 08:17:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Udtu
[2009.12.11 11:35:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Windows Desktop Search
[2011.07.19 13:13:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Windows Search
[2011.09.30 08:17:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Yweqig
[2011.10.03 09:00:00 | 000,000,408 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job
[2011.10.04 07:32:28 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{7249D272-ED12-459F-8885-DEF9E6451EF3}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< :reg >
 
< [HKEY_Current_User\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >
 
< "Shell"="explorer.exe" >
 
<  >
 
< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >
 
< "Shell"="explorer.exe" >
 
<  >
 
< :commands >
 
< [emptytemp] >

< End of report >
--- --- ---
OTL Logfile:
Code:
OTL Extras logfile created on: 04.10.2011 12:11:42 - Run 3
OTL by OldTimer - Version 3.2.29.1    Folder = G:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
989,17 Mb Total Physical Memory | 826,48 Mb Available Physical Memory | 83,55% Memory free
2,33 Gb Paging File | 2,29 Gb Available in Paging File | 98,21% Paging File free
Paging file location(s): C:\pagefile.sys 1488 2976 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 10,81 Gb Total Space | 4,70 Gb Free Space | 43,50% Space Free | Partition Type: NTFS
Drive D: | 26,78 Gb Total Space | 24,50 Gb Free Space | 91,48% Space Free | Partition Type: NTFS
Drive E: | 36,90 Gb Total Space | 24,61 Gb Free Space | 66,69% Space Free | Partition Type: NTFS
Drive G: | 999,70 Mb Total Space | 999,13 Mb Free Space | 99,94% Space Free | Partition Type: FAT
 
Computer Name: WILLI | User Name: Teproma | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "D:\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "D:\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000000-5736-4205-1000-75FF97AC5007}" = Steganos Internet Trace Destructor 7.1.1
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{1C27C64B-D5CF-4881-A310-0BD2A0D21927}" = ElsterFormular 2005/2006
"{26595B84-25F5-43E2-9696-B1720E813850}" = WZCBDL Service
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{419CF344-3D94-4DAD-99C8-EA7B00E5EA8B}" = Acronis*True*Image*Home
"{53480370-6CA2-47EC-BC05-02B4B9271C31}" = O&O Defrag Professional Edition
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9AA7D28F-7C66-45BD-95C0-BEC00CEFD34A}" = Matrox PowerDesk-SE
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.3 - Deutsch
"{B0FEAA5C-88C8-4E1C-9C6E-B1F5AEA035BF}" = AirPro Utility
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BCF4E5BE-C249-4ED3-BA3B-C4257C743995}" = NIOC Service
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C8BB4912-12D9-42AE-B571-E580D8CD1B5B}" = TuneUp Utilities 2007
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}" = ElsterFormular 2006/2007
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Avira AntiVir Desktop" = Avira Premium Security Suite
"AVM ISDN CAPI Port" = AVM ISDN CAPI Port
"CANONBJ_Deinstall_CNMCP2J.DLL" = BJC-6200
"CANONBJ_Deinstall_CNMCP78.DLL" = Canon iP4200
"CCleaner" = CCleaner (remove only)
"C-Media Audio Driver" = C-Media WDM Audio Driver
"ElsterFormular 11.4.1.4323" = ElsterFormular Upgrade
"FRITZ! 2.0" = AVM FRITZ!
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IE7pro_is1" = IE7pro
"ie8" = Windows Internet Explorer 8
"InstallShield_{26595B84-25F5-43E2-9696-B1720E813850}" = WZCBDL Service
"InstallShield_{B0FEAA5C-88C8-4E1C-9C6E-B1F5AEA035BF}" = AirPro Utility
"InstallShield_{BCF4E5BE-C249-4ED3-BA3B-C4257C743995}" = NIOC Service
"Matrox Graphics Uninstaller" = Matrox Graphics Software (remove only)
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"PowerShell" = Windows PowerShell(TM) 1.0
"RegHealer_is2" = Registry Healer 4.5.0 uninstall
"sPlan_70_is1" = sPlan 7.0
"VirtualCloneDrive" = VirtualCloneDrive
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinZip" = WinZip
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 18.09.2011 09:43:00 | Computer Name = WILLI | Source = ESENT | ID = 485
Description = wuauclt (2784) Versuch, Datei "C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb"
 zu löschen, ist mit Systemfehler 5 (0x00000005): "Zugriff verweigert " fehlgeschlagen.
 Fehler -1032 (0xfffffbf8) beim Löschen von Dateien.
 
[ System Events ]
Error - 04.10.2011 06:06:48 | Computer Name = WILLI | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
 
Error - 04.10.2011 06:06:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
 beendet:  %%5
 
Error - 04.10.2011 06:08:40 | Computer Name = WILLI | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
 
Error - 04.10.2011 06:09:36 | Computer Name = WILLI | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 04.10.2011 06:09:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:  %%31
 
Error - 04.10.2011 06:09:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:  %%31
 
Error - 04.10.2011 06:09:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "Umgebung
 für die AFD-Netzwerkunterstützung" abhängig, der aufgrund folgenden Fehlers nicht
 gestartet wurde:  %%31
 
Error - 04.10.2011 06:09:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7001
Description = Der Dienst "QoS-RSVP" ist vom Dienst "Umgebung für die AFD-Netzwerkunterstützung"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:  %%31
 
Error - 04.10.2011 06:09:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  AFD  avfwot  avgio  avipbb  Fips  intelppm  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  ssmdrv  Tcpip  WS2IFSL
 
Error - 04.10.2011 06:09:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
 beendet:  %%5
 
 
< End of report >
--- --- ---
freue mich auf eure Hilfe mfg CSS :rolleyes:

cosinus 04.10.2011 16:26
Was heißt wieder mal?!
Wir waren ja auch nicht durch mit der Bereinigung, du hast es einfach abrupt und voreilig abgebrochen! Außerdem wolltest du Malwarebytes ausführen!

CSS 05.10.2011 08:23
warum verlinkt ihr nun mein andern threat nach hier ? wenns 2 ganz andere pcs sind ? bringt mir ja null trotzdem poste ich noch ein letztes mal hier mein otl scan hoffe könnt mir helfen finde nirgends was wie ich nen neuen threat aufmache :crazy:OTL Logfile:
Code:
OTL logfile created on: 04.10.2011 12:11:42 - Run 3
OTL by OldTimer - Version 3.2.29.1    Folder = G:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
989,17 Mb Total Physical Memory | 826,48 Mb Available Physical Memory | 83,55% Memory free
2,33 Gb Paging File | 2,29 Gb Available in Paging File | 98,21% Paging File free
Paging file location(s): C:\pagefile.sys 1488 2976 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 10,81 Gb Total Space | 4,70 Gb Free Space | 43,50% Space Free | Partition Type: NTFS
Drive D: | 26,78 Gb Total Space | 24,50 Gb Free Space | 91,48% Space Free | Partition Type: NTFS
Drive E: | 36,90 Gb Total Space | 24,61 Gb Free Space | 66,69% Space Free | Partition Type: NTFS
Drive G: | 999,70 Mb Total Space | 999,13 Mb Free Space | 99,94% Space Free | Partition Type: FAT
 
Computer Name: WILLI | User Name: Teproma | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.10.04 12:04:14 | 000,582,656 | ---- | M] (OldTimer Tools) -- G:\OTL.exe
PRC - [2008.04.14 08:52:40 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cmd.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] --  -- (TUWinStylerThemeSvc)
SRV - [2011.06.29 09:02:39 | 000,567,464 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe -- (AntiVirFirewallService)
SRV - [2011.06.29 09:02:39 | 000,428,200 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2011.06.29 09:02:39 | 000,340,136 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2011.06.29 09:02:39 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.04.27 09:01:28 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009.02.06 15:09:16 | 001,263,872 | ---- | M] (Matrox Graphics Inc.) [Auto | Stopped] -- c:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe -- (Matrox Centering Service)
SRV - [2009.02.06 15:08:28 | 000,344,832 | ---- | M] (Matrox Graphics Inc) [Auto | Stopped] -- c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe -- (Matrox.Pdesk.ServicesHost)
SRV - [2007.04.04 09:48:42 | 000,087,560 | ---- | M] (Matrox Graphics Inc.) [Auto | Stopped] -- C:\WINDOWS\system32\mgabg.exe -- (MGABGEXE)
SRV - [2007.02.09 20:39:08 | 000,407,072 | ---- | M] (Acronis) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2007.01.12 23:47:22 | 000,707,344 | ---- | M] (O&O Software GmbH) [Auto | Stopped] -- C:\WINDOWS\system32\oodag.exe -- (O&O Defrag)
SRV - [2006.11.23 16:45:46 | 000,024,072 | ---- | M] (TuneUp Software GmbH) [On_Demand | Stopped] -- C:\WINDOWS\system32\uxtuneup.dll -- (UxTuneUp)
SRV - [2002.03.19 12:15:46 | 000,036,864 | ---- | M] (D-Link) [On_Demand | Stopped] -- C:\Programme\WZCBDL Service\WZCBDLS.exe -- (WZCBDLService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.06.29 09:02:40 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.06.29 09:02:40 | 000,106,904 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avfwot.sys -- (avfwot)
DRV - [2011.06.29 09:02:40 | 000,082,952 | ---- | M] (Avira GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avfwim.sys -- (avfwim)
DRV - [2011.06.29 09:02:40 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.12.25 12:26:30 | 006,039,584 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009.12.11 12:39:58 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.12.11 12:38:22 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.11.18 01:17:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 01:16:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
DRV - [2009.10.30 13:49:56 | 000,176,768 | R--- | M] (Realtek Semiconductor Corporation                          ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2009.02.06 14:19:52 | 000,350,592 | ---- | M] (Matrox Graphics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\g400dhm.sys -- (G400DH)
DRV - [2008.04.13 23:05:40 | 000,032,768 | ---- | M] (SiS Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sisnic.sys -- (SISNIC)
DRV - [2007.04.16 21:46:00 | 000,033,792 | ---- | M] (Advanced Micro Devices) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\AmdPPM.sys -- (AmdPPM)
DRV - [2007.04.16 14:58:38 | 000,392,320 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\timntr.sys -- (timounter)
DRV - [2007.04.16 14:58:38 | 000,032,768 | ---- | M] (Acronis) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\tifsfilt.sys -- (tifsfilter)
DRV - [2007.04.16 14:58:32 | 000,114,048 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\snapman.sys -- (snapman)
DRV - [2005.11.24 01:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2005.04.12 10:41:20 | 000,004,608 | ---- | M] (Elaborate Bytes AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ElbyDelay.sys -- (ElbyDelay)
DRV - [2004.05.24 14:35:06 | 000,059,520 | ---- | M] (AVM Berlin) [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\drivers\avmport.sys -- (AVMPORT)
DRV - [2003.09.09 13:12:04 | 000,323,008 | ---- | M] (D-Link Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\A3AB.sys -- (A3AB) D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB)
DRV - [2002.05.22 16:27:54 | 000,028,200 | ---- | M] (D-Link Corporation) [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\NIOC.sys -- (NIOC)
DRV - [2001.08.18 05:33:12 | 000,322,432 | ---- | M] (Matrox Graphics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\g400m.sys -- (G400)
DRV - [2001.08.17 12:14:24 | 000,444,416 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
DRV - [2000.07.14 14:00:48 | 000,005,500 | R--- | M] (Matrox Graphics Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mgabg.sys -- (mgabg)
DRV - [2000.07.11 17:31:26 | 000,200,192 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\NETFRITZ.SYS -- (NETFRITZ)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.t-online.de/
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
 
 
O1 HOSTS File: ([2003.04.02 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (IE7pro BHO) - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\Internet Explorer\PLUGINS\IE7pro\IE7pro.dll (IE7pro.com)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [PDFPrint] E:\Nils\pdf24\pdf24.exe (Geek Software GmbH)
O4 - HKCU..\Run: [{7D3FC8EE-CA13-5E47-56CB-EFAB5CC2C6F4}] C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Yweqig\atkut.exe ()
O4 - HKCU..\Run: [4Y3Y0C3AVV3VWC6ZDPIAAKRDRBL] C:\Recycle.Bi\A96C465E4BD.exe File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe (AVM Berlin)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\Internet Explorer\PLUGINS\IE7pro\IE7pro.dll (IE7pro.com)
O9 - Extra 'Tools' menuitem : IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\Internet Explorer\PLUGINS\IE7pro\IE7pro.dll (IE7pro.com)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira GmbH)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} hxxp://download.microsoft.com/download/e/7/3/e7345c16-80aa-4488-ae10-9ac6be844f99/OGAControl.cab (Office Genuine Advantage Validation Tool)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} hxxp://office.microsoft.com/officeupdate/content/opuc3.cab (Office Update Installation Engine)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190103069552 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0BEF5F9E-A6A2-44B2-ACA8-4BAC119CC134}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4E296A27-748D-4936-9AC6-95D938236782}: DhcpNameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{82A17C66-7117-4B34-9286-98FA62F118F3}: NameServer = 192.168.0.1
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\mahmud.exe) -C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\mahmud.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O30 - LSA: Authentication Packages - (relog_ap) -C:\WINDOWS\System32\relog_ap.dll (Acronis)
O31 - SafeBoot: UseAlternatShell - 1
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.10.18 14:18:02 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{3a7d2856-c012-11dc-8c4e-404e57434431}\Shell - "" = AutoRun
O33 - MountPoints2\{3a7d2856-c012-11dc-8c4e-404e57434431}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3a7d2856-c012-11dc-8c4e-404e57434431}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
O34 - HKLM BootExecute: (autocheck autochk *)
O34 - HKLM BootExecute: (OODBS)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.09.30 08:17:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Yweqig
[2011.09.30 08:17:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Udtu
[2011.09.30 08:17:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Omim
[2011.09.30 08:17:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Icet
[2011.09.20 13:27:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
 
========== Files - Modified Within 30 Days ==========
 
[2011.10.04 12:08:32 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.10.04 12:08:11 | 006,460,390 | ---- | M] () -- C:\WINDOWS\System32\OODBS.lor
[2011.10.04 11:28:02 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.10.04 07:35:17 | 000,169,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\mahmud.exe
[2011.10.04 07:32:28 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{7249D272-ED12-459F-8885-DEF9E6451EF3}.job
[2011.10.03 09:00:00 | 000,000,408 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2011.09.20 13:14:51 | 000,476,900 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.09.20 13:14:51 | 000,435,310 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.09.20 13:14:51 | 000,091,614 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.09.20 13:14:51 | 000,068,834 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.09.19 10:52:00 | 000,000,008 | ---- | M] () -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\egp7chgo83meztag.dat
[2011.09.18 10:30:22 | 000,010,240 | ---- | M] () -- C:\Dokumente und Einstellungen\Teproma\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== Files Created - No Company Name ==========
 
[2011.10.04 07:35:17 | 000,169,472 | ---- | C] () -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\mahmud.exe
[2011.09.19 10:52:00 | 000,000,008 | ---- | C] () -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\egp7chgo83meztag.dat
[2011.01.14 12:58:26 | 000,073,728 | R--- | C] () -- C:\WINDOWS\System32\RtNicProp32.dll
[2011.01.14 12:38:18 | 002,026,604 | R--- | C] () -- C:\WINDOWS\System32\igkrng500.bin
[2011.01.14 12:38:18 | 000,442,964 | R--- | C] () -- C:\WINDOWS\System32\igcompkrng500.bin
[2011.01.14 12:38:10 | 000,147,456 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v5002.dll
[2010.05.31 22:27:12 | 000,073,728 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.02.23 16:23:26 | 000,000,089 | ---- | C] () -- C:\WINDOWS\SPL7019.DAT
[2009.04.02 15:42:14 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2009.04.02 08:36:41 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.10.27 18:03:47 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS78.DLL
[2008.05.26 23:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 23:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 23:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008.05.26 22:59:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008.05.26 22:59:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
[2008.04.10 10:52:25 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2007.10.02 10:57:21 | 000,010,240 | ---- | C] () -- C:\Dokumente und Einstellungen\Teproma\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007.03.05 13:34:28 | 000,676,224 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.DLL
[2007.01.30 12:46:32 | 000,000,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Teproma\Lokale Einstellungen\Anwendungsdaten\d3d9caps.dat
[2007.01.30 12:46:31 | 000,000,768 | ---- | C] () -- C:\Dokumente und Einstellungen\Teproma\Lokale Einstellungen\Anwendungsdaten\d3d8caps.dat
[2006.12.31 08:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.11.27 10:25:29 | 000,003,411 | ---- | C] () -- C:\WINDOWS\tm.ini
[2006.10.25 08:05:45 | 000,034,816 | ---- | C] () -- C:\WINDOWS\System32\BGData.bin
[2006.10.18 16:28:03 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\CNMVS2J.DLL
[2006.10.18 16:27:08 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\CNMCP2J.EXE
[2006.10.18 16:05:04 | 000,200,192 | ---- | C] () -- C:\WINDOWS\System32\drivers\NETFRITZ.SYS
[2006.10.18 15:56:03 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2006.10.18 14:22:12 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2006.10.18 14:14:00 | 000,022,880 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.04.23 22:02:10 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.exe
[2003.08.11 05:46:41 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2003.08.11 05:45:29 | 000,114,176 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2003.04.02 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2003.04.02 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2003.04.02 14:00:00 | 000,476,900 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2003.04.02 14:00:00 | 000,435,310 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2003.04.02 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2003.04.02 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2003.04.02 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2003.04.02 14:00:00 | 000,091,614 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2003.04.02 14:00:00 | 000,068,834 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2003.04.02 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2003.04.02 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2003.04.02 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2003.04.02 14:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2003.04.02 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2003.04.02 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.02.19 01:26:28 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2002.06.09 13:07:30 | 000,053,315 | ---- | C] () -- C:\WINDOWS\System32\DevCtrl.dll
 
========== LOP Check ==========
 
[2007.04.17 13:00:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2008.10.27 18:03:28 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2010.06.10 12:11:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2006.10.24 09:06:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
[2009.12.11 12:24:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Matrox
[2009.12.11 12:24:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Matrox Graphics Inc
[2010.04.25 10:35:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\sPlan70
[2009.12.11 11:02:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
[2009.02.13 14:51:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\EDrawings
[2011.03.18 11:07:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\elsterformular
[2006.10.24 11:50:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\FRITZ!
[2011.09.30 08:17:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Icet
[2007.04.16 15:49:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\IE7pro
[2011.09.30 08:17:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Omim
[2007.04.19 09:05:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\TuneUp Software
[2011.09.30 08:17:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Udtu
[2009.12.11 11:35:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Windows Desktop Search
[2011.07.19 13:13:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Windows Search
[2011.09.30 08:17:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Yweqig
[2011.10.03 09:00:00 | 000,000,408 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job
[2011.10.04 07:32:28 | 000,000,422 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{7249D272-ED12-459F-8885-DEF9E6451EF3}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< :reg >
 
< [HKEY_Current_User\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >
 
< "Shell"="explorer.exe" >
 
<  >
 
< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >
 
< "Shell"="explorer.exe" >
 
<  >
 
< :commands >
 
< [emptytemp] >

< End of report >
--- --- ---
OTL Logfile:
Code:
OTL Extras logfile created on: 04.10.2011 12:11:42 - Run 3
OTL by OldTimer - Version 3.2.29.1    Folder = G:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
989,17 Mb Total Physical Memory | 826,48 Mb Available Physical Memory | 83,55% Memory free
2,33 Gb Paging File | 2,29 Gb Available in Paging File | 98,21% Paging File free
Paging file location(s): C:\pagefile.sys 1488 2976 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 10,81 Gb Total Space | 4,70 Gb Free Space | 43,50% Space Free | Partition Type: NTFS
Drive D: | 26,78 Gb Total Space | 24,50 Gb Free Space | 91,48% Space Free | Partition Type: NTFS
Drive E: | 36,90 Gb Total Space | 24,61 Gb Free Space | 66,69% Space Free | Partition Type: NTFS
Drive G: | 999,70 Mb Total Space | 999,13 Mb Free Space | 99,94% Space Free | Partition Type: FAT
 
Computer Name: WILLI | User Name: Teproma | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "D:\Microsoft Office\Office10\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "D:\Microsoft Office\Office10\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 0
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22002
"1900:UDP" = 1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000000-5736-4205-1000-75FF97AC5007}" = Steganos Internet Trace Destructor 7.1.1
"{04830D0F-F980-4EC0-89F1-594F2FD2A1B5}" = ElsterFormular 2008/2009
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{1C27C64B-D5CF-4881-A310-0BD2A0D21927}" = ElsterFormular 2005/2006
"{26595B84-25F5-43E2-9696-B1720E813850}" = WZCBDL Service
"{26A24AE4-039D-4CA4-87B4-2F83216017FF}" = Java(TM) 6 Update 17
"{3248F0A8-6813-11D6-A77B-00B0D0160010}" = Java(TM) SE Runtime Environment 6 Update 1
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{419CF344-3D94-4DAD-99C8-EA7B00E5EA8B}" = Acronis*True*Image*Home
"{53480370-6CA2-47EC-BC05-02B4B9271C31}" = O&O Defrag Professional Edition
"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9AA7D28F-7C66-45BD-95C0-BEC00CEFD34A}" = Matrox PowerDesk-SE
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.3 - Deutsch
"{B0FEAA5C-88C8-4E1C-9C6E-B1F5AEA035BF}" = AirPro Utility
"{B480BD2A-F1BA-4FE6-8C8E-34C6111B72C9}" = ElsterFormular 2007/2008
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BCF4E5BE-C249-4ED3-BA3B-C4257C743995}" = NIOC Service
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C8BB4912-12D9-42AE-B571-E580D8CD1B5B}" = TuneUp Utilities 2007
"{C9BED750-1211-4480-B1A5-718A3BE15525}" = REALTEK GbE & FE Ethernet PCI-E NIC Driver
"{CBBCBE04-EA5E-4201-A924-E7ED3E8686AE}" = ElsterFormular 2006/2007
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Avira AntiVir Desktop" = Avira Premium Security Suite
"AVM ISDN CAPI Port" = AVM ISDN CAPI Port
"CANONBJ_Deinstall_CNMCP2J.DLL" = BJC-6200
"CANONBJ_Deinstall_CNMCP78.DLL" = Canon iP4200
"CCleaner" = CCleaner (remove only)
"C-Media Audio Driver" = C-Media WDM Audio Driver
"ElsterFormular 11.4.1.4323" = ElsterFormular Upgrade
"FRITZ! 2.0" = AVM FRITZ!
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IE7pro_is1" = IE7pro
"ie8" = Windows Internet Explorer 8
"InstallShield_{26595B84-25F5-43E2-9696-B1720E813850}" = WZCBDL Service
"InstallShield_{B0FEAA5C-88C8-4E1C-9C6E-B1F5AEA035BF}" = AirPro Utility
"InstallShield_{BCF4E5BE-C249-4ED3-BA3B-C4257C743995}" = NIOC Service
"Matrox Graphics Uninstaller" = Matrox Graphics Software (remove only)
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"PowerShell" = Windows PowerShell(TM) 1.0
"RegHealer_is2" = Registry Healer 4.5.0 uninstall
"sPlan_70_is1" = sPlan 7.0
"VirtualCloneDrive" = VirtualCloneDrive
"Windows Media Format Runtime" = Windows Media Format Runtime
"Windows Media Player" = Windows Media Player 10
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinZip" = WinZip
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 18.09.2011 09:43:00 | Computer Name = WILLI | Source = ESENT | ID = 485
Description = wuauclt (2784) Versuch, Datei "C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb"
 zu löschen, ist mit Systemfehler 5 (0x00000005): "Zugriff verweigert " fehlgeschlagen.
 Fehler -1032 (0xfffffbf8) beim Löschen von Dateien.
 
[ System Events ]
Error - 04.10.2011 06:06:48 | Computer Name = WILLI | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
 
Error - 04.10.2011 06:06:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
 beendet:  %%5
 
Error - 04.10.2011 06:08:40 | Computer Name = WILLI | Source = SRService | ID = 104
Description = Die Initialisierung der Systemwiederherstellung ist fehlgeschlagen.
 
Error - 04.10.2011 06:09:36 | Computer Name = WILLI | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 04.10.2011 06:09:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:  %%31
 
Error - 04.10.2011 06:09:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:  %%31
 
Error - 04.10.2011 06:09:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "Umgebung
 für die AFD-Netzwerkunterstützung" abhängig, der aufgrund folgenden Fehlers nicht
 gestartet wurde:  %%31
 
Error - 04.10.2011 06:09:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7001
Description = Der Dienst "QoS-RSVP" ist vom Dienst "Umgebung für die AFD-Netzwerkunterstützung"
 abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:  %%31
 
Error - 04.10.2011 06:09:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  AFD  avfwot  avgio  avipbb  Fips  intelppm  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  ssmdrv  Tcpip  WS2IFSL
 
Error - 04.10.2011 06:09:53 | Computer Name = WILLI | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Systemwiederherstellungsdienst" wurde mit folgendem Fehler
 beendet:  %%5
 
 
< End of report >
--- --- ---

CSS 05.10.2011 08:25
ahso die letzte nachricht hatte ich gar net mehr gesehn andere pc ist nachm malwarebytes scan vollkommen clean

cosinus 05.10.2011 15:25
Zitat:
warum verlinkt ihr nun mein andern threat nach hier ? wenns 2 ganz andere pcs sind ?
Davon hast du aber nichts erwähnt! Klar hätten die Logfile-Vergleiche das evtl. verraten aber sowas solltest du schon vorher erzählen!

CSS 05.10.2011 15:45
tut mir leit war einfach zu blöde hier was zu finden um nen neuen threat aufzumachen wäre cool wenn ihr mir trotzdem helfen würdet und evtl per privater pn mir erklären könntet wo ich hier ein neuen threat aufmachen kann mfg CSS :heulen::heulen:

cosinus 05.10.2011 16:32
So, hab die Beiträge in einen separaten Strang verschoben.

Zitat:
< :reg >
< [HKEY_Current_User\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >
< "Shell"="explorer.exe" >
< >
< [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] >
< "Shell"="explorer.exe" >
< >
< :commands >
< [emptytemp] >
< End of report >
Sowas gehört garantiert nichts ins OTL-Log. Was kopierst du denn da ins Textfeld? :wtf:

Bitte setz die Anweisungen genau und mach nicht voreilig und v.a. nicht ohne Absprache irgendwas.

Downloade dir bitte srep.exe und speichere diese auf einen USB Stick. Wichtig: Nicht in einen Ordner speichern.
  • Starte den infizierten Rechner neu auf.
  • Während dem Hochfahren drücke mehrmals die F8 Taste. Danach solltest Du einige Optionen zur Auswahl haben. Navigiere mit den Pfeiltasten zu Abgesicherter Modus mit Eingabeaufforderung und drücke Enter ** Hinweis: Es kann sein, dass eine andere F Taste gedrückt werden muss, um in die Startoptionen zu kommen.
  • Logge dich nun in das infizierte Benutzerkonto ein.
  • Schließe den USB Stick an den infizierten Rechner an.
  • Nun ist etwas Handarbeit gefragt.
    • Du musst zuerst heraus finden, welchen Laufwerksbuchstaben der USB Stick hat.
    • Dazu gib bitte einfach E: ein und drücke Enter. Sollte folgende Meldung kommen.
      Zitat:
      Das System kann das angegeben Laufwerk nicht finden
      versuche einen anderen Laufwerksbuchstaben. ( zB F: )
  • Sobald Du den richtigen Laufwerksbuchstaben gefunden hast, gib folgendes ein und drücke Enter.
    start srep.exe
  • Bestätige den Disclaimer mit OK.
  • Lass das Tool in Ruhe laufen. Der Rechner wird automatisch neu starten.
Nun solltest Du wieder auf dein System zugreifen können. Auf deinen USB Stick befindet sich eine shell.txt. Bitte poste diese in deiner nächsten Antwort.

CSS 06.10.2011 08:24
WIN_XP X86Service Pack 3

Modified HKLM shell extension. Current Shell File = C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\mahmud.exe
File C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\mahmud.exe moved to G:\ infected or not found
HKCU\..\Winlogon; Shell not found
No action taken


HKLM\..\Run [avgnt] = "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM\..\Run [PDFPrint] = E:\Nils\pdf24\pdf24.exe
HKLM\..\Run [IgfxTray] = C:\WINDOWS\System32\igfxtray.exe
HKLM\..\Run [HotKeysCmds] = C:\WINDOWS\System32\hkcmd.exe
HKLM\..\Run [Persistence] = C:\WINDOWS\System32\igfxpers.exe
HKLM\..\Run [RTHDCPL] = RTHDCPL.EXE

HKCU\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe
HKCU\..\Run [4Y3Y0C3AVV3VWC6ZDPIAAKRDRBL] = C:\Recycle.Bi\A96C465E4BD.exe
HKCU\..\Run [{7D3FC8EE-CA13-5E47-56CB-EFAB5CC2C6F4}] = "C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Yweqig\atkut.exe"

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-20_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-1957994488-507921405-1343024091-1003\..\Winlogon; Shell =
HKU\S-1-5-21-1957994488-507921405-1343024091-1003_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\S-1-5-21-1957994488-507921405-1343024091-1003\..\Run [ctfmon.exe] = C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-1957994488-507921405-1343024091-1003\..\Run [4Y3Y0C3AVV3VWC6ZDPIAAKRDRBL] = C:\Recycle.Bi\A96C465E4BD.exe
HKU\S-1-5-21-1957994488-507921405-1343024091-1003\..\Run [{7D3FC8EE-CA13-5E47-56CB-EFAB5CC2C6F4}] = "C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Yweqig\atkut.exe"

==== FINISH 06.10-09.10 ====
ich danke euch für eure Bemühungen ich weiss ich nerve bestimmt :rolleyes:

cosinus 06.10.2011 13:16
Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
O4 - HKCU..\Run: [{7D3FC8EE-CA13-5E47-56CB-EFAB5CC2C6F4}] C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Yweqig\atkut.exe ()
O4 - HKCU..\Run: [4Y3Y0C3AVV3VWC6ZDPIAAKRDRBL] C:\Recycle.Bi\A96C465E4BD.exe File not found
O31 - SafeBoot: UseAlternatShell - 1
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.10.18 14:18:02 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{3a7d2856-c012-11dc-8c4e-404e57434431}\Shell - "" = AutoRun
O33 - MountPoints2\{3a7d2856-c012-11dc-8c4e-404e57434431}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{3a7d2856-c012-11dc-8c4e-404e57434431}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE      .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn
[2011.09.30 08:17:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Yweqig
[2011.09.30 08:17:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Udtu
[2011.09.30 08:17:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Omim
[2011.09.30 08:17:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Icet
[2011.10.04 07:35:17 | 000,169,472 | ---- | M] () -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\mahmud.exe
[2011.09.19 10:52:00 | 000,000,008 | ---- | M] () -- C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\egp7chgo83meztag.dat
:Files
C:\Recycle.Bi
:Commands
[emptytemp]
[resethosts]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

CSS 06.10.2011 13:51
otl fix wird ausgeführt erhalte aber keine logfile kommt nur computer muss neu gestartet werden ich probiere es noch einmal

CSS 06.10.2011 13:55
:rolleyes:



All processes killed
========== OTL ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\{7D3FC8EE-CA13-5E47-56CB-EFAB5CC2C6F4} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7D3FC8EE-CA13-5E47-56CB-EFAB5CC2C6F4}\ not found.
File C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Yweqig\atkut.exe not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\4Y3Y0C3AVV3VWC6ZDPIAAKRDRBL not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\\AlternateShell not found.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
File C:\AUTOEXEC.BAT not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3a7d2856-c012-11dc-8c4e-404e57434431}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3a7d2856-c012-11dc-8c4e-404e57434431}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3a7d2856-c012-11dc-8c4e-404e57434431}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3a7d2856-c012-11dc-8c4e-404e57434431}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3a7d2856-c012-11dc-8c4e-404e57434431}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3a7d2856-c012-11dc-8c4e-404e57434431}\ not found.
File C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RuNdLl32.EXE .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx,ahaezedrn not found.
Folder C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Yweqig\ not found.
Folder C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Udtu\ not found.
Folder C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Omim\ not found.
Folder C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\Icet\ not found.
File C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\mahmud.exe not found.
File C:\Dokumente und Einstellungen\Teproma\Anwendungsdaten\egp7chgo83meztag.dat not found.
========== FILES ==========
File\Folder C:\Recycle.Bi not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Joerg
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Teproma
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 255 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 0,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.29.1 log created on 10062011_144918

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

cosinus 06.10.2011 14:24
Startet Windows wieder normal?

CSS 06.10.2011 14:38
jo windows startet normal ohne den... polizei virus :applaus:
danke euch seit die besten ohne euch kann man echt nur formatieren^^ mal ne frage kann der polizeivirus auch auf dem masterbootrecord(MBR) sich ablagern ?

cosinus 06.10.2011 14:58
Ja, das prüfen wir jetzt alles noch, wir sind ja auch noch nicht fertig ;)

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


CSS 06.10.2011 15:22
werde am Montag die Logs hier posten muss nun weck erst am Montag morgen wieder da solange geht keiner an den Pc :rolleyes: danke dir vielmals:Boogie:bis montag wünsche dir nen schönes wochenende =)

cosinus 06.10.2011 15:28
"copy to quarantine" bedeutet aber so eigentlich nur, dass es in die Quarantäne kopiert wird, sonst wird nichts weiter entfernt.

Vllt meinen die damit eher "move to quarantine", das wäre sinniger.

Mach bitte ein neues Log mit dem TDSS-Killer

CSS 10.10.2011 10:13
guten morgen erstmal :pfeiff:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7884

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06.10.2011 16:46:45
mbam-log-2011-10-06 (16-46-45).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 240654
Laufzeit: 32 Minute(n), 49 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=1
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=a2d87656fa723c45beb2800e41b1aeb9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-10 09:03:50
# local_time=2011-10-10 11:03:50 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1798 16775141 100 95 5466 57711251 0 0
# compatibility_mode=8192 67108863 100 0 213 213 0 0
# scanned=47536
# found=0
# cleaned=0
# scan_time=1888

hxxp://www.trojaner-board.de/images/icons/icon26.gif

CSS 10.10.2011 10:30
ahja bevor ich das vergesse soll ich die dateien die in der quarantäne sind alle löschen ? bevor der virus evtl zurückkommt ?

cosinus 10.10.2011 13:21
Ich hab den Eindruck ich bin hier ein wenig durcheinandergekommen, hattest du den TDSS-Killer schon ausgeführt :confused: wil irgendwie seh ich kein Log dazu hab aber was von seiner Quarantäne erwähnt.

Welche Qurantäne meinst du wenn in den letzten beiden Logs von MBAM/ESET rein GARNIX zu sehen ist? :wtf:

Du weißt, was eine Quarantäne ist? Ob da die schädliche Datei drinbleibt oder nicht, das hat keine Auswirkungen. Schädlinge in der Quarantäne können nichts mehr anrichten, sie sind dort isoliert. Du solltest grundsätzlich mit der Quarantäne arbeiten, denn falls der Virenscanner durch einen Fehlalarm was wichtiges löscht, kannst Du notfalls noch über die Quarantäne an die Datei ran.

CSS 10.10.2011 13:27
lasse tdss gleichmal drüberlaufen

CSS 10.10.2011 14:02
tdss rüberlaufen lassen finde nirgends die logfile :eek: hat aber auch nur einen fund gehabt was mit der fritzbox nix wildes

cosinus 10.10.2011 14:12
Log vom TDSS ist direkt auf C:

CSS 10.10.2011 14:19
:huepp:

14:58:02.0875 3700 TDSS rootkit removing tool 2.6.7.0 Oct 10 2011 09:40:06
14:58:04.0875 3700 ============================================================
14:58:04.0875 3700 Current date / time: 2011/10/10 14:58:04.0875
14:58:04.0875 3700 SystemInfo:
14:58:04.0875 3700
14:58:04.0875 3700 OS Version: 5.1.2600 ServicePack: 3.0
14:58:04.0875 3700 Product type: Workstation
14:58:04.0875 3700 ComputerName: WILLI
14:58:04.0875 3700 UserName: Teproma
14:58:04.0875 3700 Windows directory: C:\WINDOWS
14:58:04.0875 3700 System windows directory: C:\WINDOWS
14:58:04.0875 3700 Processor architecture: Intel x86
14:58:04.0875 3700 Number of processors: 2
14:58:04.0875 3700 Page size: 0x1000
14:58:04.0875 3700 Boot type: Normal boot
14:58:04.0875 3700 ============================================================
14:58:05.0656 3700 Initialize success
14:58:10.0609 0780 ============================================================
14:58:10.0609 0780 Scan started
14:58:10.0609 0780 Mode: Manual;
14:58:10.0609 0780 ============================================================
14:58:12.0343 0780 A3AB (1f489950b3e4ba796b7c035542f2fb25) C:\WINDOWS\system32\DRIVERS\A3AB.sys
14:58:12.0343 0780 A3AB - ok
14:58:12.0406 0780 Abiosdsk - ok
14:58:12.0421 0780 abp480n5 - ok
14:58:12.0484 0780 ACPI (ac407f1a62c3a300b4f2b5a9f1d55b2c) C:\WINDOWS\system32\DRIVERS\ACPI.sys
14:58:12.0484 0780 ACPI - ok
14:58:12.0562 0780 ACPIEC (9e1ca3160dafb159ca14f83b1e317f75) C:\WINDOWS\system32\drivers\ACPIEC.sys
14:58:12.0562 0780 ACPIEC - ok
14:58:12.0625 0780 adpu160m - ok
14:58:12.0687 0780 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
14:58:12.0687 0780 aec - ok
14:58:12.0796 0780 AFD (322d0e36693d6e24a2398bee62a268cd) C:\WINDOWS\System32\drivers\afd.sys
14:58:12.0796 0780 AFD - ok
14:58:12.0843 0780 Aha154x - ok
14:58:12.0859 0780 aic78u2 - ok
14:58:12.0875 0780 aic78xx - ok
14:58:12.0890 0780 AliIde - ok
14:58:12.0968 0780 Ambfilt (267fc636801edc5ab28e14036349e3be) C:\WINDOWS\system32\drivers\Ambfilt.sys
14:58:12.0984 0780 Ambfilt - ok
14:58:13.0062 0780 AmdPPM (033448d435e65c4bd72e70521fd05c76) C:\WINDOWS\system32\DRIVERS\AmdPPM.sys
14:58:13.0062 0780 AmdPPM - ok
14:58:13.0109 0780 amsint - ok
14:58:13.0125 0780 asc - ok
14:58:13.0140 0780 asc3350p - ok
14:58:13.0156 0780 asc3550 - ok
14:58:13.0218 0780 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
14:58:13.0218 0780 AsyncMac - ok
14:58:13.0296 0780 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
14:58:13.0296 0780 atapi - ok
14:58:13.0343 0780 Atdisk - ok
14:58:13.0390 0780 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
14:58:13.0390 0780 Atmarpc - ok
14:58:13.0484 0780 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
14:58:13.0484 0780 audstub - ok
14:58:13.0578 0780 avfwim (32f20f013ac88f9b1d3194f7bbff6324) C:\WINDOWS\system32\DRIVERS\avfwim.sys
14:58:13.0578 0780 avfwim - ok
14:58:13.0656 0780 avfwot (9d46038fc08b9d129ad001e2ccebd25d) C:\WINDOWS\system32\DRIVERS\avfwot.sys
14:58:13.0656 0780 avfwot - ok
14:58:13.0718 0780 avgio (0b497c79824f8e1bf22fa6aacd3de3a0) C:\Programme\Avira\AntiVir Desktop\avgio.sys
14:58:13.0718 0780 avgio - ok
14:58:13.0812 0780 avgntflt (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
14:58:13.0812 0780 avgntflt - ok
14:58:13.0890 0780 avipbb (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys
14:58:13.0890 0780 avipbb - ok
14:58:13.0968 0780 AVMCOWAN (56acae37faeef24d346b99f45d17ef4b) C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys
14:58:13.0968 0780 AVMCOWAN - ok
14:58:14.0046 0780 AVMPORT (02568a764ef2c37cfa6f9c471e67d475) C:\WINDOWS\System32\drivers\avmport.sys
14:58:14.0046 0780 AVMPORT - ok
14:58:14.0109 0780 AVMWAN (c997af59c54d69232fb7bbea4dad86e2) C:\WINDOWS\system32\DRIVERS\avmwan.sys
14:58:14.0109 0780 AVMWAN - ok
14:58:14.0187 0780 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
14:58:14.0187 0780 Beep - ok
14:58:14.0281 0780 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
14:58:14.0281 0780 cbidf2k - ok
14:58:14.0343 0780 cd20xrnt - ok
14:58:14.0375 0780 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
14:58:14.0375 0780 Cdaudio - ok
14:58:14.0453 0780 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
14:58:14.0453 0780 Cdfs - ok
14:58:14.0531 0780 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
14:58:14.0531 0780 Cdrom - ok
14:58:14.0578 0780 Changer - ok
14:58:14.0609 0780 CmdIde - ok
14:58:14.0671 0780 cmuda (53f4cc55f3c255439c5973e31f0adce7) C:\WINDOWS\system32\drivers\cmuda.sys
14:58:14.0687 0780 cmuda - ok
14:58:14.0750 0780 Cpqarray - ok
14:58:14.0781 0780 dac2w2k - ok
14:58:14.0796 0780 dac960nt - ok
14:58:14.0843 0780 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
14:58:14.0843 0780 Disk - ok
14:58:14.0937 0780 dmboot (0dcfc8395a99fecbb1ef771cec7fe4ea) C:\WINDOWS\system32\drivers\dmboot.sys
14:58:14.0937 0780 dmboot - ok
14:58:15.0015 0780 dmio (53720ab12b48719d00e327da470a619a) C:\WINDOWS\system32\DRIVERS\dmio.sys
14:58:15.0015 0780 dmio - ok
14:58:15.0093 0780 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
14:58:15.0093 0780 dmload - ok
14:58:15.0171 0780 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys
14:58:15.0171 0780 DMusic - ok
14:58:15.0218 0780 dpti2o - ok
14:58:15.0265 0780 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys
14:58:15.0265 0780 drmkaud - ok
14:58:15.0359 0780 ElbyCDIO (fa13264eea448b2e1b3a844ae4f75c7a) C:\WINDOWS\system32\Drivers\ElbyCDIO.sys
14:58:15.0359 0780 ElbyCDIO - ok
14:58:15.0421 0780 ElbyDelay (df9957db3bfe5136aad3c2c101806c98) C:\WINDOWS\system32\Drivers\ElbyDelay.sys
14:58:15.0421 0780 ElbyDelay - ok
14:58:15.0500 0780 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
14:58:15.0500 0780 Fastfat - ok
14:58:15.0593 0780 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys
14:58:15.0593 0780 Fdc - ok
14:58:15.0687 0780 Fips (b0678a548587c5f1967b0d70bacad6c1) C:\WINDOWS\system32\drivers\Fips.sys
14:58:15.0687 0780 Fips - ok
14:58:15.0765 0780 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys
14:58:15.0765 0780 Flpydisk - ok
14:58:15.0843 0780 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
14:58:15.0843 0780 FltMgr - ok
14:58:15.0921 0780 fpcibase (45b5129aeae91ea096a9bbebff99e098) C:\WINDOWS\system32\DRIVERS\fpcibase.sys
14:58:15.0921 0780 fpcibase - ok
14:58:15.0953 0780 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
14:58:15.0968 0780 Fs_Rec - ok
14:58:16.0015 0780 Ftdisk (8f1955ce42e1484714b542f341647778) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
14:58:16.0015 0780 Ftdisk - ok
14:58:16.0093 0780 G400 (33d00f8cb70ac5f7a8101f79d5273615) C:\WINDOWS\system32\DRIVERS\G400m.sys
14:58:16.0093 0780 G400 - ok
14:58:16.0187 0780 G400DH (2dd3d27e36ebf6804c40b843ff10872f) C:\WINDOWS\system32\DRIVERS\g400dhm.sys
14:58:16.0187 0780 G400DH - ok
14:58:16.0265 0780 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
14:58:16.0265 0780 Gpc - ok
14:58:16.0343 0780 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys
14:58:16.0343 0780 HDAudBus - ok
14:58:16.0390 0780 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
14:58:16.0390 0780 HidUsb - ok
14:58:16.0437 0780 hpn - ok
14:58:16.0484 0780 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
14:58:16.0484 0780 HTTP - ok
14:58:16.0546 0780 i2omgmt - ok
14:58:16.0562 0780 i2omp - ok
14:58:16.0609 0780 i8042prt (e283b97cfbeb86c1d86baed5f7846a92) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
14:58:16.0609 0780 i8042prt - ok
14:58:16.0828 0780 ialm (1312e0141a7bd409afadd52fa565927e) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys
14:58:16.0859 0780 ialm - ok
14:58:16.0937 0780 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
14:58:16.0937 0780 Imapi - ok
14:58:16.0984 0780 ini910u - ok
14:58:17.0171 0780 IntcAzAudAddService (364d3642ae236c3f2f5f55f43b09ffda) C:\WINDOWS\system32\drivers\RtkHDAud.sys
14:58:17.0203 0780 IntcAzAudAddService - ok
14:58:17.0250 0780 IntelIde - ok
14:58:17.0296 0780 intelppm (4c7d2750158ed6e7ad642d97bffae351) C:\WINDOWS\system32\DRIVERS\intelppm.sys
14:58:17.0296 0780 intelppm - ok
14:58:17.0328 0780 ip6fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
14:58:17.0328 0780 ip6fw - ok
14:58:17.0406 0780 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
14:58:17.0406 0780 IpFilterDriver - ok
14:58:17.0484 0780 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
14:58:17.0484 0780 IpInIp - ok
14:58:17.0625 0780 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
14:58:17.0625 0780 IpNat - ok
14:58:17.0796 0780 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
14:58:17.0796 0780 IPSec - ok
14:58:17.0953 0780 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
14:58:17.0953 0780 IRENUM - ok
14:58:18.0078 0780 isapnp (6dfb88f64135c525433e87648bda30de) C:\WINDOWS\system32\DRIVERS\isapnp.sys
14:58:18.0078 0780 isapnp - ok
14:58:18.0140 0780 Kbdclass (1704d8c4c8807b889e43c649b478a452) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
14:58:18.0140 0780 Kbdclass - ok
14:58:18.0187 0780 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
14:58:18.0187 0780 kmixer - ok
14:58:18.0265 0780 KSecDD (1705745d900dabf2d89f90ebaddc7517) C:\WINDOWS\system32\drivers\KSecDD.sys
14:58:18.0265 0780 KSecDD - ok
14:58:18.0328 0780 lbrtfdc - ok
14:58:18.0343 0780 lrgwx - ok
14:58:18.0390 0780 MBAMProtector (69a6268d7f81e53d568ab4e7e991caf3) C:\WINDOWS\system32\drivers\mbam.sys
14:58:18.0390 0780 MBAMProtector - ok
14:58:18.0437 0780 mgabg (005992e527c5c159702dd82f9aa82c28) C:\WINDOWS\system32\drivers\mgabg.sys
14:58:18.0437 0780 mgabg - ok
14:58:18.0468 0780 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
14:58:18.0468 0780 mnmdd - ok
14:58:18.0546 0780 Modem (6fb74ebd4ec57a6f1781de3852cc3362) C:\WINDOWS\system32\drivers\Modem.sys
14:58:18.0546 0780 Modem - ok
14:58:18.0625 0780 Monfilt (c7d9f9717916b34c1b00dd4834af485c) C:\WINDOWS\system32\drivers\Monfilt.sys
14:58:18.0640 0780 Monfilt - ok
14:58:18.0718 0780 Mouclass (b24ce8005deab254c0251e15cb71d802) C:\WINDOWS\system32\DRIVERS\mouclass.sys
14:58:18.0718 0780 Mouclass - ok
14:58:18.0796 0780 mouhid (66a6f73c74e1791464160a7065ce711a) C:\WINDOWS\system32\DRIVERS\mouhid.sys
14:58:18.0796 0780 mouhid - ok
14:58:18.0843 0780 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
14:58:18.0843 0780 MountMgr - ok
14:58:18.0890 0780 mraid35x - ok
14:58:18.0937 0780 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
14:58:18.0937 0780 MRxDAV - ok
14:58:19.0031 0780 MRxSmb (68755f0ff16070178b54674fe5b847b0) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
14:58:19.0031 0780 MRxSmb - ok
14:58:19.0171 0780 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
14:58:19.0171 0780 Msfs - ok
14:58:19.0250 0780 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
14:58:19.0250 0780 MSKSSRV - ok
14:58:19.0343 0780 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
14:58:19.0343 0780 MSPCLOCK - ok
14:58:19.0437 0780 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
14:58:19.0437 0780 MSPQM - ok
14:58:19.0531 0780 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
14:58:19.0531 0780 mssmbios - ok
14:58:19.0578 0780 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys
14:58:19.0578 0780 Mup - ok
14:58:19.0671 0780 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
14:58:19.0671 0780 NDIS - ok
14:58:19.0765 0780 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
14:58:19.0765 0780 NdisTapi - ok
14:58:19.0859 0780 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
14:58:19.0859 0780 Ndisuio - ok
14:58:19.0953 0780 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
14:58:19.0953 0780 NdisWan - ok
14:58:20.0046 0780 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys
14:58:20.0046 0780 NDProxy - ok
14:58:20.0125 0780 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
14:58:20.0125 0780 NetBIOS - ok
14:58:20.0203 0780 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
14:58:20.0203 0780 NetBT - ok
14:58:20.0281 0780 NETFRITZ (0b4eae4191d88e10bc81cc649650d9fc) C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS
14:58:20.0281 0780 Suspicious file (Forged): C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS. Real md5: 0b4eae4191d88e10bc81cc649650d9fc, Fake md5: 0277a68f44c932168e8afb48f55abab8
14:58:20.0281 0780 NETFRITZ ( ForgedFile.Multi.Generic ) - warning
14:58:20.0281 0780 NETFRITZ - detected ForgedFile.Multi.Generic (1)
14:58:20.0359 0780 NIOC (bfc971937636909f15af81ef45ae167d) C:\WINDOWS\System32\NIOC.SYS
14:58:20.0359 0780 NIOC - ok
14:58:20.0421 0780 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
14:58:20.0421 0780 Npfs - ok
14:58:20.0500 0780 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
14:58:20.0515 0780 Ntfs - ok
14:58:20.0593 0780 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
14:58:20.0593 0780 Null - ok
14:58:20.0671 0780 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
14:58:20.0671 0780 NwlnkFlt - ok
14:58:20.0750 0780 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
14:58:20.0765 0780 NwlnkFwd - ok
14:58:20.0843 0780 Parport (f84785660305b9b903fb3bca8ba29837) C:\WINDOWS\system32\DRIVERS\parport.sys
14:58:20.0843 0780 Parport - ok
14:58:20.0937 0780 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
14:58:20.0937 0780 PartMgr - ok
14:58:21.0015 0780 ParVdm (c2bf987829099a3eaa2ca6a0a90ecb4f) C:\WINDOWS\system32\drivers\ParVdm.sys
14:58:21.0015 0780 ParVdm - ok
14:58:21.0093 0780 PCI (387e8dedc343aa2d1efbc30580273acd) C:\WINDOWS\system32\DRIVERS\pci.sys
14:58:21.0093 0780 PCI - ok
14:58:21.0156 0780 PCIDump - ok
14:58:21.0187 0780 PCIIde (59ba86d9a61cbcf4df8e598c331f5b82) C:\WINDOWS\system32\DRIVERS\pciide.sys
14:58:21.0187 0780 PCIIde - ok
14:58:21.0265 0780 Pcmcia (a2a966b77d61847d61a3051df87c8c97) C:\WINDOWS\system32\drivers\Pcmcia.sys
14:58:21.0265 0780 Pcmcia - ok
14:58:21.0328 0780 PDCOMP - ok
14:58:21.0343 0780 PDFRAME - ok
14:58:21.0359 0780 PDRELI - ok
14:58:21.0375 0780 PDRFRAME - ok
14:58:21.0406 0780 perc2 - ok
14:58:21.0421 0780 perc2hib - ok
14:58:21.0484 0780 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
14:58:21.0484 0780 PptpMiniport - ok
14:58:21.0562 0780 Processor (2cb55427c58679f49ad600fccba76360) C:\WINDOWS\system32\DRIVERS\processr.sys
14:58:21.0562 0780 Processor - ok
14:58:21.0640 0780 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
14:58:21.0640 0780 PSched - ok
14:58:21.0703 0780 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
14:58:21.0703 0780 Ptilink - ok
14:58:21.0734 0780 ql1080 - ok
14:58:21.0750 0780 Ql10wnt - ok
14:58:21.0765 0780 ql12160 - ok
14:58:21.0781 0780 ql1240 - ok
14:58:21.0796 0780 ql1280 - ok
14:58:21.0843 0780 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
14:58:21.0843 0780 RasAcd - ok
14:58:21.0906 0780 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
14:58:21.0906 0780 Rasl2tp - ok
14:58:21.0984 0780 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
14:58:21.0984 0780 RasPppoe - ok
14:58:22.0093 0780 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
14:58:22.0093 0780 Raspti - ok
14:58:22.0171 0780 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
14:58:22.0171 0780 Rdbss - ok
14:58:22.0250 0780 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
14:58:22.0250 0780 RDPCDD - ok
14:58:22.0328 0780 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
14:58:22.0328 0780 rdpdr - ok
14:58:22.0421 0780 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
14:58:22.0421 0780 RDPWD - ok
14:58:22.0515 0780 redbook (ed761d453856f795a7fe056e42c36365) C:\WINDOWS\system32\DRIVERS\redbook.sys
14:58:22.0515 0780 redbook - ok
14:58:22.0593 0780 ROOTMODEM (d8b0b4ade32574b2d9c5cc34dc0dbbe7) C:\WINDOWS\system32\Drivers\RootMdm.sys
14:58:22.0593 0780 ROOTMODEM - ok
14:58:22.0703 0780 RTLE8023xp (387c8f70e992efa3d25816ecc1ab2b8b) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys
14:58:22.0703 0780 RTLE8023xp - ok
14:58:22.0781 0780 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
14:58:22.0781 0780 Secdrv - ok
14:58:22.0828 0780 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys
14:58:22.0828 0780 serenum - ok
14:58:22.0890 0780 Serial (cf24eb4f0412c82bcd1f4f35a025e31d) C:\WINDOWS\system32\DRIVERS\serial.sys
14:58:22.0890 0780 Serial - ok
14:58:22.0953 0780 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\DRIVERS\sfloppy.sys
14:58:22.0953 0780 Sfloppy - ok
14:58:22.0984 0780 Simbad - ok
14:58:23.0015 0780 sisagp (6b33d0ebd30db32e27d1d78fe946a754) C:\WINDOWS\system32\DRIVERS\sisagp.sys
14:58:23.0015 0780 sisagp - ok
14:58:23.0046 0780 SISNIC (3fbb6ef8b5a71a2fa11f5f461bb73219) C:\WINDOWS\system32\DRIVERS\sisnic.sys
14:58:23.0062 0780 SISNIC - ok
14:58:23.0140 0780 snapman (e78c98378a071ce4d48a7c514fa98fa1) C:\WINDOWS\system32\DRIVERS\snapman.sys
14:58:23.0140 0780 snapman - ok
14:58:23.0156 0780 Sparrow - ok
14:58:23.0203 0780 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
14:58:23.0203 0780 splitter - ok
14:58:23.0250 0780 sr (50fa898f8c032796d3b1b9951bb5a90f) C:\WINDOWS\system32\DRIVERS\sr.sys
14:58:23.0250 0780 sr - ok
14:58:23.0312 0780 Srv (5252605079810904e31c332e241cd59b) C:\WINDOWS\system32\DRIVERS\srv.sys
14:58:23.0312 0780 Srv - ok
14:58:23.0390 0780 ssmdrv (5ec550b8952882ee856b862cf648522d) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
14:58:23.0390 0780 ssmdrv - ok
14:58:23.0437 0780 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
14:58:23.0437 0780 swenum - ok
14:58:23.0468 0780 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys
14:58:23.0468 0780 swmidi - ok
14:58:23.0515 0780 symc810 - ok
14:58:23.0531 0780 symc8xx - ok
14:58:23.0546 0780 sym_hi - ok
14:58:23.0562 0780 sym_u3 - ok
14:58:23.0593 0780 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys
14:58:23.0609 0780 sysaudio - ok
14:58:23.0718 0780 Tcpip (93ea8d04ec73a85db02eb8805988f733) C:\WINDOWS\system32\DRIVERS\tcpip.sys
14:58:23.0718 0780 Tcpip - ok
14:58:23.0781 0780 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
14:58:23.0781 0780 TDPIPE - ok
14:58:23.0828 0780 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
14:58:23.0828 0780 TDTCP - ok
14:58:23.0859 0780 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
14:58:23.0859 0780 TermDD - ok
14:58:23.0968 0780 tifsfilter (b84b82c0cbeb1b0d7eb7a946bade5830) C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
14:58:23.0968 0780 tifsfilter - ok
14:58:24.0015 0780 timounter (74711884439bdf9ccf446c79cb05fac0) C:\WINDOWS\system32\DRIVERS\timntr.sys
14:58:24.0015 0780 timounter - ok
14:58:24.0156 0780 TosIde - ok
14:58:24.0265 0780 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
14:58:24.0265 0780 Udfs - ok
14:58:24.0312 0780 ultra - ok
14:58:24.0375 0780 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
14:58:24.0375 0780 Update - ok
14:58:24.0421 0780 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
14:58:24.0421 0780 usbccgp - ok
14:58:24.0500 0780 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
14:58:24.0500 0780 usbehci - ok
14:58:24.0546 0780 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
14:58:24.0546 0780 usbhub - ok
14:58:24.0625 0780 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys
14:58:24.0625 0780 usbohci - ok
14:58:24.0687 0780 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys
14:58:24.0687 0780 usbprint - ok
14:58:24.0750 0780 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
14:58:24.0750 0780 usbscan - ok
14:58:24.0796 0780 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
14:58:24.0796 0780 USBSTOR - ok
14:58:24.0875 0780 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
14:58:24.0875 0780 usbuhci - ok
14:58:24.0890 0780 UtilNT - ok
14:58:24.0937 0780 VClone (1a131c2ca1b99542f9b0dd0c901f6587) C:\WINDOWS\system32\DRIVERS\VClone.sys
14:58:24.0937 0780 VClone - ok
14:58:25.0015 0780 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
14:58:25.0015 0780 VgaSave - ok
14:58:25.0031 0780 ViaIde - ok
14:58:25.0062 0780 VolSnap (a5a712f4e880874a477af790b5186e1d) C:\WINDOWS\system32\drivers\VolSnap.sys
14:58:25.0062 0780 VolSnap - ok
14:58:25.0125 0780 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
14:58:25.0125 0780 Wanarp - ok
14:58:25.0140 0780 WDICA - ok
14:58:25.0187 0780 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
14:58:25.0187 0780 wdmaud - ok
14:58:25.0296 0780 WS2IFSL (6abe6e225adb5a751622a9cc3bc19ce8) C:\WINDOWS\System32\drivers\ws2ifsl.sys
14:58:25.0296 0780 WS2IFSL - ok
14:58:25.0343 0780 MBR (0x1B8) (6e2f5812efa4914e420e8ee64c1dbd8b) \Device\Harddisk0\DR0
14:58:28.0234 0780 \Device\Harddisk0\DR0 - ok
14:58:28.0234 0780 MBR (0x1B8) (5fb38429d5d77768867c76dcbdb35194) \Device\Harddisk1\DR11
14:58:28.0390 0780 \Device\Harddisk1\DR11 - ok
14:58:28.0406 0780 Boot (0x1200) (535b5891ff6abc7523d9600cecdd70d8) \Device\Harddisk0\DR0\Partition0
14:58:28.0406 0780 \Device\Harddisk0\DR0\Partition0 - ok
14:58:28.0406 0780 Boot (0x1200) (12f20bd0447fbc554189a34162c323b1) \Device\Harddisk0\DR0\Partition1
14:58:28.0406 0780 \Device\Harddisk0\DR0\Partition1 - ok
14:58:28.0437 0780 Boot (0x1200) (e0ed1fe2f8c398af6008637cda31862a) \Device\Harddisk0\DR0\Partition2
14:58:28.0437 0780 \Device\Harddisk0\DR0\Partition2 - ok
14:58:28.0437 0780 Boot (0x1200) (31a0181048ade140451c55fb64cea6e7) \Device\Harddisk1\DR11\Partition0
14:58:28.0437 0780 \Device\Harddisk1\DR11\Partition0 - ok
14:58:28.0437 0780 ============================================================
14:58:28.0437 0780 Scan finished
14:58:28.0437 0780 ============================================================
14:58:28.0437 1252 Detected object count: 1
14:58:28.0437 1252 Actual detected object count: 1
14:58:42.0687 1252 NETFRITZ ( ForgedFile.Multi.Generic ) - skipped by user
14:58:42.0687 1252 NETFRITZ ( ForgedFile.Multi.Generic ) - User select action: Skip
14:59:54.0296 4076 Deinitialize success

cosinus 10.10.2011 14:21
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

CSS 10.10.2011 15:15
Combofix Logfile:
Code:
ComboFix 11-10-10.01 - Teproma 10.10.2011  15:58:22.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.989.398 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Teproma\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
FW: Avira FireWall *Disabled* {11638345-E4FC-4BEE-BB73-EC754659C5F6}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Joerg\WINDOWS
c:\windows\ehome\medctrro.exe
c:\windows\IsUn0407.exe
.
.
(((((((((((((((((((((((((((((((((((((((  Treiber/Dienste  )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_PASSWORD
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-09-10 bis 2011-10-10  ))))))))))))))))))))))))))))))
.
.
2011-10-10 08:28 . 2011-10-10 08:28        --------        d-----w-        c:\programme\ESET
2011-10-06 14:11 . 2011-10-06 14:11        --------        d-----w-        c:\dokumente und einstellungen\Teproma\Anwendungsdaten\Malwarebytes
2011-10-06 14:10 . 2011-10-06 14:12        --------        d-----w-        c:\programme\Malwarebytes' Anti-Malware
2011-10-06 14:10 . 2011-08-31 15:00        22216        ----a-w-        c:\windows\system32\drivers\mbam.sys
2011-09-20 11:27 . 2011-09-20 11:27        --------        d-----w-        c:\dokumente und einstellungen\Joerg\Anwendungsdaten\Malwarebytes
2011-09-20 11:27 . 2011-09-20 11:27        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2010-11-03 281768]
"PDFPrint"="e:\nils\pdf24\pdf24.exe" [2010-03-11 208528]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2008-10-27 150040]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2008-10-27 178712]
"Persistence"="c:\windows\System32\igfxpers.exe" [2008-10-27 150040]
"RTHDCPL"="RTHDCPL.EXE" [2009-12-25 18789408]
"Malwarebytes' Anti-Malware"="c:\programme\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2003-04-02 40960]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
FRITZ!fax.lnk - c:\programme\FRITZ!\FriFax32.exe [2006-10-24 1425408]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\programme\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute        REG_MULTI_SZ          autocheck autochk *\0OODBS
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Matrox Powerdesk]
2000-08-14 18:17        503808        ----a-r-        c:\windows\system32\pdesk.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"D-Link AirPro Utility"=c:\programme\D-Link\AirPro Utility\WLANmon.exe
"VirtualCloneDrive"="d:\systemprogramme\VirtualCloneDrive\VCDDaemon.exe" /s
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher"="d:\adobe\Reader 9.0\Reader\Reader_sl.exe"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
.
R1 avfwot;avfwot;c:\windows\system32\drivers\avfwot.sys [11.12.2009 12:46 106904]
R2 AntiVirFirewallService;Avira Firewall;c:\programme\Avira\AntiVir Desktop\avfwsvc.exe [11.12.2009 12:46 567464]
R2 AntiVirMailService;Avira AntiVir MailGuard;c:\programme\Avira\AntiVir Desktop\avmailc.exe [11.12.2009 12:46 340136]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [11.12.2009 12:46 136360]
R2 AntiVirWebService;Avira AntiVir WebGuard;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [11.12.2009 12:46 428200]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [24.10.2006 09:01 59520]
R2 Matrox Centering Service;Matrox Centering Service;c:\programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe [06.02.2009 15:09 1263872]
R2 Matrox.Pdesk.ServicesHost;Matrox.Pdesk.ServicesHost;c:\programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe [06.02.2009 15:08 344832]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [06.10.2011 16:10 366152]
R2 NIOC;NIOC Service;c:\windows\system32\NIOC.sys [22.05.2002 16:27 28200]
R3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\drivers\avfwim.sys [11.12.2009 12:46 82952]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [24.11.2005 01:00 53632]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [15.09.2000 05:00 37568]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [15.09.2000 05:00 444416]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [06.10.2011 16:10 22216]
S0 lrgwx;lrgwx;c:\windows\system32\drivers\ardabc.sys --> c:\windows\system32\drivers\ardabc.sys [?]
S3 A3AB;D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB);c:\windows\system32\drivers\A3AB.sys [18.10.2006 14:45 323008]
S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [14.01.2011 12:52 1691480]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\drivers\NETFRITZ.SYS [18.10.2006 16:05 200192]
S3 OOTextMode;OOTextMode;c:\windows\system32\drivers\oobctm.sys [11.05.2005 01:37 30720]
S3 UtilNT;UtilNT; [x]
S3 WZCBDLService;WZCBDL Service;c:\programme\WZCBDL Service\WZCBDLS.exe [19.03.2002 12:15 36864]
.
Inhalt des "geplante Tasks" Ordners
.
2011-10-10 c:\windows\Tasks\1-Klick-Wartung.job
- d:\systemprogramme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 14:46]
.
2011-10-10 c:\windows\Tasks\User_Feed_Synchronization-{7249D272-ED12-459F-8885-DEF9E6451EF3}.job
- c:\windows\system32\msfeedssync.exe [2006-10-17 03:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll
TCP: DhcpNameServer = 192.168.0.200
TCP: Interfaces\{0BEF5F9E-A6A2-44B2-ACA8-4BAC119CC134}: NameServer = 192.168.0.1
TCP: Interfaces\{82A17C66-7117-4B34-9286-98FA62F118F3}: NameServer = 192.168.0.1
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
MSConfigStartUp-Acrobat Assistant 7 - d:\acrobat 7\Distillr\Acrotray.exe
MSConfigStartUp-Cmaudio - cmicnfg.cpl
AddRemove-FRITZ! 2.0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2011-10-10 16:06
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2536)
c:\windows\system32\webcheck.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Avira\AntiVir Desktop\avshadow.exe
c:\windows\system32\mgabg.exe
c:\windows\system32\oodag.exe
c:\windows\System32\wbem\wmiapsrv.exe
c:\windows\System32\igfxsrvc.exe
c:\windows\RTHDCPL.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2011-10-10  16:09:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2011-10-10 14:09
.
Vor Suchlauf: 4.773.208.064 Bytes frei
Nach Suchlauf: 4.700.282.880 Bytes frei
.
WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /tutag=tbslml noguiboot /NoExecute=OptIn
.
- - End Of File - - 1572664D0FBC33A8E150A08CAEA12243
--- --- ---

cosinus 10.10.2011 15:27
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.

Hinweis: Zum Entpacken von OSAM bitte WinRAR oder 7zip verwenden! Stell auch unbedingt den Virenscanner ab, besonders der Scanner von McAfee meldet oft einen Fehalarm in OSAM!

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinem Desktop.
  • Starte die aswMBR.exe - (aswMBR.exe Anleitung)
    Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte bis Scan finished successfully im DOS-Fenster steht.
  • Drücke auf Save Log und speichere diese auf dem Desktop.
Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

CSS 10.10.2011 16:18
GMER Logfile:
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2011-10-10 17:08:44
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 ST380011A rev.3.06
Running: 75kfvn7s.exe; Driver: C:\DOKUME~1\Teproma\LOKALE~1\Temp\pgtdqpod.sys


---- System - GMER 1.0.15 ----

SSDT            F7B73AFC                                                                              ZwClose
SSDT            F7B73AB6                                                                              ZwCreateKey
SSDT            F7B73B06                                                                              ZwCreateSection
SSDT            F7B73AAC                                                                              ZwCreateThread
SSDT            F7B73ABB                                                                              ZwDeleteKey
SSDT            F7B73AC5                                                                              ZwDeleteValueKey
SSDT            F7B73AF7                                                                              ZwDuplicateObject
SSDT            F7B73AE3                                                                              ZwLoadDriver
SSDT            F7B73ACA                                                                              ZwLoadKey
SSDT            F7B73A98                                                                              ZwOpenProcess
SSDT            F7B73A9D                                                                              ZwOpenThread
SSDT            F7B73AD4                                                                              ZwReplaceKey
SSDT            F7B73ACF                                                                              ZwRestoreKey
SSDT            F7B73B0B                                                                              ZwSetContextThread
SSDT            F7B73AE8                                                                              ZwSetSystemInformation
SSDT            F7B73AC0                                                                              ZwSetValueKey
SSDT            F7B73AA7                                                                              ZwTerminateProcess
SSDT            F7B73AA2                                                                              ZwWriteVirtualMemory

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwCallbackReturn + 2F84                                                  80504810 4 Bytes  CALL 9947FF4F
?              Combo-Fix.sys                                                                        Das System kann die angegebene Datei nicht finden. !
?              C:\ComboFix\catchme.sys                                                              Das System kann die angegebene Datei nicht finden. !
?              C:\WINDOWS\system32\Drivers\PROCEXP113.SYS                                            Das System kann die angegebene Datei nicht finden. !

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\Tcpip \Device\Ip                                                              avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                            avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                            avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                          avfwot.sys (TDI filtering kernel driver/Avira GmbH)
AttachedDevice  \FileSystem\Fastfat \Fat                                                              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System                               
Reg            HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION 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

---- EOF - GMER 1.0.15 ----
--- --- ---

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-10 17:12:13
-----------------------------
17:12:13.421 OS Version: Windows 5.1.2600 Service Pack 3
17:12:13.421 Number of processors: 2 586 0x170A
17:12:13.421 ComputerName: WILLI UserName:
17:12:13.593 Initialize success
17:12:50.812 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
17:12:50.812 Disk 0 Vendor: ST380011A 3.06 Size: 76318MB BusType: 3
17:12:52.828 Disk 0 MBR read successfully
17:12:52.828 Disk 0 MBR scan
17:12:52.828 Disk 0 unknown MBR code
17:12:52.828 Disk 0 scanning sectors +156296385
17:12:52.937 Disk 0 scanning C:\WINDOWS\system32\drivers
17:13:17.000 Service scanning
17:13:17.796 Modules scanning
17:13:57.625 Disk 0 trace - called modules:
17:13:57.656 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
17:13:57.656 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85f87ab8]
17:13:57.656 3 CLASSPNP.SYS[f7537fd7] -> nt!IofCallDriver -> \Device\0000007c[0x85f44f18]
17:13:57.656 5 ACPI.sys[f73cd620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x85f7e940]
17:13:57.656 Scan finished successfully
17:14:56.859 Disk 0 MBR has been saved successfully to "G:\polizei virus\neue logs\MBR.dat"
17:14:56.890 The log file has been saved successfully to "G:\polizei virus\neue logs\aswMBR.txt"


OSAM Logfile:
Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 17:12:09 on 10.10.2011

OS: Windows XP Professional Service Pack 3 (Build 2600)
Default Browser: Microsoft Corporation Internet Explorer 8.00.6001.18702

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Boot Execute]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Session Manager )-----
"BootExecute" - "O&O Software GmbH" - C:\WINDOWS\system32\OODBS.exe

[Common]
-----( %SystemRoot%\Tasks )-----
"1-Klick-Wartung.job" - "TuneUp Software GmbH" - D:\Systemprogramme\TuneUp Utilities 2007\SystemOptimizer.exe

[Control Panel Objects]
-----( %SystemRoot%\system32 )-----
"infocardcpl.cpl" - "Microsoft Corporation" - C:\WINDOWS\system32\infocardcpl.cpl
"javacpl.cpl" - "Sun Microsystems, Inc." - C:\WINDOWS\system32\javacpl.cpl
"rhcpl.cpl" - "KsL Software" - C:\WINDOWS\system32\rhcpl.cpl
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls )-----
"Avira Premium Security Suite - Konfiguration" - "Avira GmbH" - C:\PROGRA~1\Avira\ANTIVI~1\avconfig.cpl

[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"Acronis Snapshots Manager" (snapman) - "Acronis" - C:\WINDOWS\System32\DRIVERS\snapman.sys
"Acronis True Image Backup Archive Explorer" (timounter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\timntr.sys
"Acronis True Image FS Filter" (tifsfilter) - "Acronis" - C:\WINDOWS\System32\DRIVERS\tifsfilt.sys
"avfwot" (avfwot) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avfwot.sys
"avgio" (avgio) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avgio.sys
"avgntflt" (avgntflt) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\avipbb.sys
"AVM FRITZ!web PPP over ISDN" (NETFRITZ) - ? - C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS
"AVMPORT" (AVMPORT) - "AVM Berlin" - C:\WINDOWS\System32\drivers\avmport.sys
"catchme" (catchme) - ? - C:\ComboFix\catchme.sys  (File not found)
"Changer" (Changer) - ? - C:\WINDOWS\system32\drivers\Changer.sys  (File not found)
"ElbyCDIO Driver" (ElbyCDIO) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyCDIO.sys
"ElbyDelay" (ElbyDelay) - "Elaborate Bytes AG" - C:\WINDOWS\System32\Drivers\ElbyDelay.sys
"HTTP" (HTTP) - "Microsoft Corporation" - C:\WINDOWS\System32\Drivers\HTTP.sys
"i2omgmt" (i2omgmt) - ? - C:\WINDOWS\system32\drivers\i2omgmt.sys  (File not found)
"lbrtfdc" (lbrtfdc) - ? - C:\WINDOWS\system32\drivers\lbrtfdc.sys  (File not found)
"lrgwx" (lrgwx) - ? - C:\WINDOWS\System32\drivers\ardabc.sys  (File not found)
"MBAMProtector" (MBAMProtector) - "Malwarebytes Corporation" - C:\WINDOWS\system32\drivers\mbam.sys
"mbr" (mbr) - ? - C:\DOKUME~1\Teproma\LOKALE~1\Temp\mbr.sys  (Hidden registry entry, rootkit activity | File not found)
"mgabg" (mgabg) - ? - C:\WINDOWS\system32\drivers\mgabg.sys
"NIOC Service" (NIOC) - "D-Link Corporation" - C:\WINDOWS\System32\NIOC.SYS
"OOTextMode" (OOTextMode) - "O&O Software GmbH" - C:\WINDOWS\System32\drivers\oobctm.sys  (Hidden registry entry, rootkit activity)
"PCIDump" (PCIDump) - ? - C:\WINDOWS\system32\drivers\PCIDump.sys  (File not found)
"PDCOMP" (PDCOMP) - ? - C:\WINDOWS\system32\drivers\PDCOMP.sys  (File not found)
"PDFRAME" (PDFRAME) - ? - C:\WINDOWS\system32\drivers\PDFRAME.sys  (File not found)
"PDRELI" (PDRELI) - ? - C:\WINDOWS\system32\drivers\PDRELI.sys  (File not found)
"PDRFRAME" (PDRFRAME) - ? - C:\WINDOWS\system32\drivers\PDRFRAME.sys  (File not found)
"pgtdqpod" (pgtdqpod) - ? - C:\DOKUME~1\Teproma\LOKALE~1\Temp\pgtdqpod.sys  (Hidden registry entry, rootkit activity | File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\WINDOWS\System32\DRIVERS\ssmdrv.sys
"UtilNT" (UtilNT) - ? - C:\WINDOWS\system32\drivers\UtilNT.sys  (File not found)
"VClone" (VClone) - "Elaborate Bytes AG" - C:\WINDOWS\System32\DRIVERS\VClone.sys
"WDICA" (WDICA) - ? - C:\WINDOWS\system32\drivers\WDICA.sys  (File not found)

[Explorer]
-----( HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components )-----
{89B4C1CD-B018-4511-B0A1-5476DBF70820} "StubPath" - "Microsoft Corporation" - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll
{7D4D6379-F301-4311-BEBA-E26EB0561882} "{7D4D6379-F301-4311-BEBA-E26EB0561882}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Classes\Protocols\Filter )-----
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
{1E66F26B-79EE-11D2-8710-00C04F79ED0D} "Cor MIME Filter, CorFltr, CorFltr 1" - "Microsoft Corporation" - C:\WINDOWS\system32\mscoree.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{3D9F03FA-7A94-11D3-BE81-0050048385D1} "Data Page Pluggable Protocol mso-offdap Handler" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
{CD00020A-8B95-11D1-82DB-00C04FB1625D} "Microsoft PKM KnowledgePluggable Class" - "Microsoft Corporation" - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{56F9679E-7826-4C84-81F3-532071A8BCC5} "Windows Desktop Search Namespace Manager" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\MSNLNamespaceMgr.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{F2CF5485-4E02-4f68-819C-B92DE9277049} "&Links" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{C539A15A-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Context Menu Extension" - "Acronis" - D:\Systemprogramme\Acronis\TrueImageHome\tishell.dll
{C539A15B-3AF9-4c92-B771-50CB78F5C751} "Acronis True Image Shell Extension" - "Acronis" - D:\Systemprogramme\Acronis\TrueImageHome\tishell.dll
{42071714-76d4-11d1-8b24-00a0c9068ff3} "CPL-Erweiterung für Anzeigeverschiebung" - ? - deskpan.dll  (File not found)
{692F0339-CBAA-47e6-B5B5-3B84DB604E87} "Extensions Manager Folder" - "Microsoft Corporation" - C:\WINDOWS\System32\extmgr.dll
{FF393560-C2A7-11CF-BFF4-444553540000} "History" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{3028902F-6374-48b2-8DC6-9725E775B926} "IE AutoComplete" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{73CFD649-CD48-4fd8-A272-2070EA56526B} "IE BandProxy" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{FDE7673D-2E19-4145-8376-BBD58C4BC7BA} "IE Custom MRU AutoCompleted List" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{1C1EDB47-CE22-4bbb-B608-77B48F83C823} "IE Fade Task" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{11016101-E366-4D22-BC06-4ADA335C892B} "IE History and Feeds Shell Data Source for Windows Search" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{6CF48EF8-44CD-45d2-8832-A16EA016311B} "IE IShellFolderBand" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{4B78D326-D922-44f9-AF2A-07805C2A3560} "IE Menu Band" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{205D7A97-F16D-4691-86EF-F3075DCCA57D} "IE Menu Desk Bar" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{44C76ECD-F7FA-411c-9929-1B77BA77F524} "IE Menu Site" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{07C45BB1-4A8C-4642-A1F5-237E7215FF66} "IE Microsoft BrowserBand" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{6038EF75-ABFC-4e59-AB6F-12D397F6568D} "IE Microsoft History AutoComplete List" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{B31C5FAE-961F-415b-BAF0-E697A5178B94} "IE Microsoft Multiple AutoComplete List Container" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{9D958C62-3954-4b44-8FAB-C4670C1DB4C2} "IE Microsoft Shell Folder AutoComplete List" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{98FF6D4B-6387-4b0a-8FBD-C5C4BB17B4F8} "IE MRU AutoComplete List" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{43886CD5-6529-41c4-A707-7B3C92C05E68} "IE Navigation Bar" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{F83DAC1C-9BB9-4f2b-B619-09819DA81B0E} "IE Registry Tree Options Utility" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{9A096BB5-9DC3-4D1C-8526-C3CBF991EA4E} "IE RSS Feeds Folder" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{30D02401-6A81-11d0-8274-00C04FD5AE38} "IE Search Band" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{E6EE9AAC-F76B-4947-8260-A9F136138E11} "IE Shell Band Site Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{BFAD62EE-9D54-4b2a-BF3B-76F90697BD2A} "IE Shell Rebar BandSite" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{6B4ECC4F-16D1-4474-94AB-5A763F2A54AE} "IE Tracking Shell Menu" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} "IE User Assist" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{871C5380-42A0-1069-A2EA-08002B30309D} "Internet Name Space" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{FBF23B40-E3F0-101B-8488-00AA003E56F8} "Internet Shortcut" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} "Kontextmenü für die Verschlüsselung" - ? -  (File not found | COM-object registry key not found)
{32683183-48a0-441b-a342-7c2a440a9478} "Media Band" - ? -  (File not found | COM-object registry key not found)
{BC476F4C-D9D7-4100-8D4E-E043F6DEC409} "Microsoft Browser Architecture" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{42042206-2D85-11D3-8CFF-005004838597} "Microsoft Office HTML Icon Handler" - "Microsoft Corporation" - D:\Microsoft Office\Office10\msohev.dll
{3C374A40-BAE4-11CF-BF7D-00AA006946EE} "Microsoft Url History Service" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{CFBFAE00-17A6-11D0-99CB-00C04FD64497} "Microsoft Url Search Hook" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{8856f961-340a-11d0-a96b-00c04fd705a2} "Microsoft Web Browser" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{B327765E-D724-4347-8B16-78AE18552FC3} "NeroDigitalIconHandler" - ? -  (File not found | COM-object registry key not found)
{7F1CF152-04F8-453A-B34C-E609530A9DC8} "NeroDigitalPropSheetHandler" - ? -  (File not found | COM-object registry key not found)
{E7E4BC40-E76A-11CE-A9BB-00AA004AE837} "Shell DocObject Viewer" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\shlext.dll
{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} "Shell Icon Handler for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{764BF0E1-F219-11ce-972D-00AA00A14F56} "Shellerweiterungen für die Dateikomprimierung" - ? -  (File not found | COM-object registry key not found)
{e82a2d71-5b2f-43a0-97b8-81be15854de8} "ShellLink for Application References" - "Microsoft Corporation" - C:\WINDOWS\system32\dfshim.dll
{00000000-5736-4205-0100-75ff97ac5007} "Steganos InternetSpurenVernichter 7" - ? - d:\systemprogramme\steganos internet trace destructor 7\itd7se.dll  (File found, but it contains no detailed information)
{7BD29E00-76C1-11CF-9DD0-00A0C9034933} "Temporary Internet Files" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{7BD29E01-76C1-11CF-9DD0-00A0C9034933} "Temporary Internet Files" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{3DC7A020-0ACD-11CF-A9BB-00AA004AE837} "The Internet" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0} "TuneUp Shredder Shell Context Menu Extension" - ? -  (File not found | COM-object registry key not found)
{4858E7D9-8E12-45a3-B6A3-1CD128C9D403} "TuneUp Shredder Shell Extension" - "TuneUp Software GmbH" - D:\Systemprogramme\TuneUp Utilities 2007\SDShelEx-win32.dll
{44440D00-FF19-4AFC-B765-9A0970567D97} "TuneUp Theme Extension" - "TuneUp Software GmbH" - C:\WINDOWS\system32\uxtuneup.dll
{B7056B8E-4F99-44f8-8CBD-282390FE5428} "VirtualCloneDrive Shell Extension" - "Elaborate Bytes AG" - D:\Systemprogramme\VirtualCloneDrive\ElbyVCDShell.dll
{BDEADF00-C265-11D0-BCED-00A0C90AB50F} "Webordner" - "Microsoft Corporation" - C:\PROGRA~1\GEMEIN~1\MICROS~1\WEBFOL~1\MSONSEXT.DLL
{13E7F612-F261-4391-BEA2-39DF4F3FA311} "Windows Desktop Search" - "Microsoft Corporation" - C:\Programme\Windows Desktop Search\msnlExt.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -  (File not found | COM-object registry key not found)
{45670FA8-ED97-4F44-BC93-305082590BFB} "Windows XPS Document Metadata Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL
{44121072-A222-48f2-A58A-6D9AD51EBBE9} "Windows XPS Document Thumbnail Handler" - "Microsoft Corporation" - C:\WINDOWS\System32\XPSSHHDR.DLL
{E0D79304-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79305-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79306-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
{E0D79307-84BE-11CE-9641-444553540000} "WinZip" - "WinZip Computing LP" - C:\PROGRA~1\WINZIP\WZSHLSTB.DLL
InCDUdfPerm extension "{B3D9AEDE-B2C3-406d-A254-6BE07767B08B}" - ? -  (File not found | COM-object registry key not found)
InCDShellExt extension "{CAE3251E-9B15-4810-B268-852AD9792A59}" - ? -  (File not found | COM-object registry key not found)

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBarLayout" - ? -  (File not found | COM-object registry key not found)
-----( HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks )-----
{CFBFAE00-17A6-11D0-99CB-00C04FD64497} "Microsoft Url Search Hook" - "Microsoft Corporation" - C:\WINDOWS\system32\ieframe.dll
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} "Java Plug-in 1.6.0_01" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} "Java Plug-in 1.6.0_05" - "Sun Microsystems, Inc." - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_17" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\npjpi160_17.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab
{05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} "Office Genuine Advantage Validation Tool" - ? - C:\WINDOWS\system32\OGACheckControl.DLL / hxxp://download.microsoft.com/download/e/7/3/e7345c16-80aa-4488-ae10-9ac6be844f99/OGAControl.cab
{3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} "Office Update Installation Engine" - "Microsoft Corporation" - C:\WINDOWS\opuc.dll / hxxp://office.microsoft.com/officeupdate/content/opuc3.cab
{C7DB51B4-BCF7-4923-8874-7F1A0DC92277} "Office Update Installation Engine" - "Microsoft Corporation" - C:\WINDOWS\opuc.dll / hxxp://office.microsoft.com/officeupdate/content/opuc4.cab
{7530BFB8-7293-4D34-9923-61A11451AFC5} "OnlineScanner Control" - "ESET" - C:\PROGRA~1\ESET\ESETON~1\ONLINE~1.OCX / hxxp://download.eset.com/special/eos/OnlineScanner.cab
{E2883E8F-472F-4FB0-9522-AC9BF37916A7} "{E2883E8F-472F-4FB0-9522-AC9BF37916A7}" - ? -  (File not found | COM-object registry key not found) / hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
{B119EB0C-C021-46CF-85B0-34A760E0D5FE} "IE7pro Preferences" - "IE7pro.com" - C:\Programme\Internet Explorer\PLUGINS\IE7pro\IE7pro.dll
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{00011268-E188-40DF-A514-835FCD78B1BF} "IE7pro BHO" - "IE7pro.com" - C:\Programme\Internet Explorer\PLUGINS\IE7pro\IE7pro.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jp2ssv.dll
{E7E6F031-17CE-4C07-BC86-EABFE594F69C} "JQSIEStartDetectorImpl Class" - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

[Logon]
-----( %AllUsersProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\desktop.ini
"FRITZ!fax.lnk" - "AVM Berlin" - C:\Programme\FRITZ!\FriFax32.exe  (Shortcut exists | File exists)
-----( %UserProfile%\Startmenü\Programme\Autostart )-----
"desktop.ini" - ? - C:\Dokumente und Einstellungen\Teproma\Startmenü\Programme\Autostart\desktop.ini
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"avgnt" - "Avira GmbH" - "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
"Malwarebytes' Anti-Malware" - "Malwarebytes Corporation" - "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
"PDFPrint" - "Geek Software GmbH" - E:\Nils\pdf24\pdf24.exe

[Print Monitors]
-----( HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors )-----
"FRITZ!fax Color Port Monitor" - "AVM Berlin GmbH" - C:\WINDOWS\system32\FritzColorPort.dll
"FRITZ!fax Port Monitor" - "AVM Berlin GmbH" - C:\WINDOWS\system32\FritzPort.dll

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
".NET Runtime Optimization Service v2.0.50727_X86" (clr_optimization_v2.0.50727_32) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
"Acronis Scheduler2 Service" (AcrSch2Svc) - "Acronis" - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir MailGuard" (AntiVirMailService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\sched.exe
"Avira AntiVir WebGuard" (AntiVirWebService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
"Avira Firewall" (AntiVirFirewallService) - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe
"Java Quick Starter" (JavaQuickStarterService) - "Sun Microsystems, Inc." - C:\Programme\Java\jre6\bin\jqs.exe
"MBAMService" (MBAMService) - "Malwarebytes Corporation" - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
"Matrox Centering Service" (Matrox Centering Service) - "Matrox Graphics Inc." - c:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe
"Matrox.Pdesk.ServicesHost" (Matrox.Pdesk.ServicesHost) - "Matrox Graphics Inc" - c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe
"O&O Defrag" (O&O Defrag) - "O&O Software GmbH" - C:\WINDOWS\system32\oodag.exe
"TuneUp Designerweiterung" (UxTuneUp) - "TuneUp Software GmbH" - C:\WINDOWS\System32\uxtuneup.dll
"TuneUp WinStyler Theme Service" (TUWinStylerThemeSvc) - ? - C:\WINDOWS\system32\drivers\TUWinStylerThemeSvc.sys  (File not found)
"Windows CardSpace" (idsvc) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
"Windows Presentation Foundation Font Cache 3.0.0.0" (FontCache3.0.0.0) - "Microsoft Corporation" - C:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
"WZCBDL Service" (WZCBDLService) - "D-Link" - C:\Programme\WZCBDL Service\WZCBDLS.exe

[Winlogon]
-----( HKCU\Control Panel\IOProcs )-----
"MVB" - ? - mvfs32.dll  (File not found)
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions )-----
{F9C77450-3A41-477E-9310-9ACD617BD9E3} "Group Policy Applications" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{728EE579-943C-4519-9EF7-AB56765798ED} "Group Policy Data Sources" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{1A6364EB-776B-4120-ADE1-B63A406A76B5} "Group Policy Device Settings" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{5794DAFD-BE60-433f-88A2-1A31939AC01F} "Group Policy Drive Maps" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{0E28E245-9368-4853-AD84-6DA3BA35BB75} "Group Policy Environment" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{7150F9BF-48AD-4da4-A49C-29EF4A8369BA} "Group Policy Files" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{A3F3E39B-5D83-4940-B954-28315B82F0A8} "Group Policy Folder Options" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{6232C319-91AC-4931-9385-E70C2B099F0E} "Group Policy Folders" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{74EE6C03-5363-4554-B161-627540339CAB} "Group Policy Ini Files" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{E47248BA-94CC-49c4-BBB5-9EB7F05183D0} "Group Policy Internet Settings" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{17D89FEC-5C44-4972-B12D-241CAEF74509} "Group Policy Local Users and Groups" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{3A0DBA37-F8B2-4356-83DE-3E90BD5C261F} "Group Policy Network Options" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{6A4C88C6-C502-4f74-8F60-2CB23EDC24E2} "Group Policy Network Shares" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{E62688F0-25FD-4c90-BFF5-F508B9D2E31F} "Group Policy Power Options" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{BC75B1ED-5833-4858-9BB8-CBF0B166DF9D} "Group Policy Printers" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{E5094040-C46C-4115-B030-04FB2E545B00} "Group Policy Regional Options" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{B087BE9D-ED37-454f-AF9C-04291E351182} "Group Policy Registry" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{AADCED64-746C-4633-A97C-D61349046527} "Group Policy Scheduled Tasks" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{91FBB303-0CD5-4055-BF42-E512A681B325} "Group Policy Services" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{C418DD9D-0D14-4efb-8FBF-CFE535C8FAC7} "Group Policy Shortcuts" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
{E4F48E54-F38D-4884-BFB9-D4D2E5729C18} "Group Policy Start Menu Settings" - "Microsoft Corporation" - C:\WINDOWS\system32\gpprefcl.dll
-----( HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify )-----
"WgaLogon" - "Microsoft Corporation" - C:\WINDOWS\system32\WgaLogon.dll

[Winsock Providers]
-----( HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries )-----
"AVSDA" - "Avira GmbH" - C:\Programme\Avira\AntiVir Desktop\avsda.dll

===[ Logfile end ]=========================================[ Logfile end ]===
--- --- ---

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru

CSS 10.10.2011 16:19
hab bekannten nun erzählt wie super ihr einem weiterhelft werde mich denke ich mal des öffteren nun wegen solchen viren sprich bka virus usw melden kleine spende wird folgen an euch =)

CSS 10.10.2011 16:21
achja bevor ichs vergesse, kann ich combofix nun deinstalieren ? :kloppen:

CSS 10.10.2011 16:29
so bin dann mal weck , schaue morgen wieder hier rein schönen abend wünsche ich dir noch :taenzer:und danke für eure Hilfe :kloppen::abklatsch:

cosinus 10.10.2011 17:12
Zitat:
"lrgwx" (lrgwx) - ? - C:\WINDOWS\System32\drivers\ardabc.sys (File not found)
"mgabg" (mgabg) - ? - C:\WINDOWS\system32\drivers\mgabg.sys
Bitte mit OSAM deaktivieren und löschen.

Anschließend den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.
Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

CSS 11.10.2011 08:51
aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-11 09:45:23
-----------------------------
09:45:23.296 OS Version: Windows 5.1.2600 Service Pack 3
09:45:23.296 Number of processors: 2 586 0x170A
09:45:23.296 ComputerName: WILLI UserName:
09:45:25.812 Initialize success
09:45:36.734 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
09:45:36.734 Disk 0 Vendor: ST380011A 3.06 Size: 76318MB BusType: 3
09:45:38.750 Disk 0 MBR read successfully
09:45:38.750 Disk 0 MBR scan
09:45:38.750 Disk 0 Windows XP default MBR code
09:45:38.750 Disk 0 scanning sectors +156296385
09:45:38.828 Disk 0 scanning C:\WINDOWS\system32\drivers
09:45:46.625 Service scanning
09:45:47.593 Modules scanning
09:46:02.140 Disk 0 trace - called modules:
09:46:02.171 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
09:46:02.171 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x85f38ab8]
09:46:02.171 3 CLASSPNP.SYS[f7537fd7] -> nt!IofCallDriver -> \Device\0000007b[0x85f55f18]
09:46:02.171 5 ACPI.sys[f73cd620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x85f8bd98]
09:46:02.187 Scan finished successfully
09:47:22.234 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Teproma\Desktop\MBR.dat"
09:47:22.234 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Teproma\Desktop\aswMBR.txt"


kleine spende kommt heute nachmittag , habe von nem Bekannten nen pc gestern abend bekommen der hat auch den polizeivirus wie gehe ich nun als erstes vor OTL scan ? Möchte mich in Zukunft mit dem beseitigen von solchen Viren noch mehr beschäftigen (wäre cool wenn mir wer verrät wo ich nen neues thema aufmache) :rolleyes:

cosinus 11.10.2011 10:12
Zitat:
09:45:38.750 Disk 0 Windows XP default MBR code
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!


Anschließend über den OnlineScanner von ESET eine zusätzliche Meinung zu holen ist auch nicht verkehrt:


ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset


CSS 11.10.2011 11:38
Scans müssten gleich durch sein .
Wie fange ich den bei dem anderen pc am besten an ? Otl Scan danach log posten ?

CSS 11.10.2011 13:15
Polizei Virus Ukash eingefangen beim Bekannten auf dem PC
Name Peter wurde editiert!
OTL Logfile:
Code:
OTL logfile created on: 11.10.2011 13:37:47 - Run 1
OTL by OldTimer - Version 3.2.29.1    Folder = G:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,23 Mb Total Physical Memory | 853,91 Mb Available Physical Memory | 83,45% Memory free
2,16 Gb Paging File | 2,12 Gb Available in Paging File | 98,18% Paging File free
Paging file location(s): C:\pagefile.sys 1280 3500 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 14,76 Gb Free Space | 50,37% Space Free | Partition Type: NTFS
Drive D: | 47,39 Gb Total Space | 27,98 Gb Free Space | 59,03% Space Free | Partition Type: NTFS
Drive G: | 999,70 Mb Total Space | 935,64 Mb Free Space | 93,59% Space Free | Partition Type: FAT
 
Computer Name: BUERO3 | User Name: Limberg | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.10.04 12:04:14 | 000,582,656 | ---- | M] (OldTimer Tools) -- G:\OTL.exe
PRC - [2008.04.14 07:52:40 | 000,401,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\cmd.exe
 
 
========== Modules (No Company Name) ==========
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.07.26 12:07:07 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.04.21 07:53:48 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Stopped] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2004.01.05 11:44:28 | 000,065,795 | R--- | M] (HP) [On_Demand | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
SRV - [2002.08.14 16:21:16 | 000,200,704 | ---- | M] (Symantec Corporation) [Auto | Stopped] -- C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe -- (GhostStartService)
SRV - [2001.02.23 11:07:30 | 000,270,336 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.07.26 12:07:18 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.07.26 12:07:18 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Stopped] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.06.17 14:30:17 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.11.12 06:14:27 | 000,057,320 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nvhda32.sys -- (NVHDA)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Stopped] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.14 00:15:30 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2008.02.14 11:04:06 | 004,676,096 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008.01.03 16:10:16 | 000,105,856 | R--- | M] (Realtek Semiconductor Corporation                          ) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2006.07.31 18:52:35 | 000,027,219 | ---- | M] () [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\GDTdiIcpt.sys -- (GDTdiInterceptor)
DRV - [2005.10.23 19:10:32 | 000,043,672 | ---- | M] (Oak Technology Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\AFS2K.SYS -- (AFS2K)
DRV - [2005.06.08 02:00:00 | 000,799,488 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\fdslbase.sys -- (FDSLBASE) AVM FRITZ!Card DSL (WinXP/2000)
DRV - [2005.06.08 02:00:00 | 000,053,248 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2005.06.08 02:00:00 | 000,045,440 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmdsloe.sys -- (AVMDSLPPPOE)
DRV - [2005.06.08 02:00:00 | 000,038,992 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmndsl.sys -- (AVMNDSL)
DRV - [2004.05.14 17:24:10 | 000,622,172 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2004.02.24 05:08:52 | 000,400,384 | ---- | M] (Sensaura) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS -- (ALCXSENS)
DRV - [2003.12.23 07:32:00 | 000,174,464 | ---- | M] (Marvell Semiconductor Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\yukonwxp.sys -- (yukonwxp)
DRV - [2002.08.14 16:11:16 | 000,005,632 | ---- | M] (Symantec Corporation) [Kernel | System | Running] -- C:\Programme\Symantec\Norton Ghost 2003\GhPciScan.sys -- (GhPciScan)
DRV - [2002.08.14 16:03:36 | 000,017,005 | ---- | M] (Adaptec) [Kernel | Auto | Stopped] -- C:\WINDOWS\System32\drivers\ASPI32.SYS -- (Aspi32)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825
IE - HKCU\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = localhost
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:3128;https=127.0.0.1:3128;ftp=127.0.0.1:3128;socks=127.0.0.1:1080
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultthis.engineName: "Winload Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2319825&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Winload Customized Web Search"
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de"
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.5
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.69\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.69\npGoogleUpdate3.dll (Google Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.10.01 15:04:05 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 7.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.05.07 08:28:44 | 000,000,000 | ---D | M]
 
[2008.10.08 20:18:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Limberg\Anwendungsdaten\Mozilla\Extensions
[2011.10.01 15:04:11 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Limberg\Anwendungsdaten\Mozilla\Firefox\Profiles\2sq9ugw5.default\extensions
[2010.03.24 16:13:02 | 000,000,917 | ---- | M] () -- C:\Dokumente und Einstellungen\Limberg\Anwendungsdaten\Mozilla\Firefox\Profiles\2sq9ugw5.default\searchplugins\conduit.xml
[2008.10.08 20:18:44 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\LIMBERG\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\2SQ9UGW5.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2011.10.01 15:04:05 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.08.19 15:19:41 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.08.19 15:19:41 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.08.19 15:19:41 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.08.19 15:19:41 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.08.19 15:19:41 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.08.19 15:19:41 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
========== Chrome  ==========
 
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}sourceid=chrome&ie={inputEncoding}&q={searchTerms}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?client=chrome&hl={language}&q={searchTerms}
CHR - plugin: Shockwave Flash (Enabled) = C:\Dokumente und Einstellungen\Limberg\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\12.0.742.122\gcswf32.dll
CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
CHR - plugin: Adobe Acrobat (Disabled) = C:\Programme\Adobe\Acrobat 7.0\Reader\Browser\nppdf32.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll
CHR - plugin: Chrome NaCl (Disabled) = C:\Dokumente und Einstellungen\Limberg\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\12.0.742.122\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Dokumente und Einstellungen\Limberg\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\12.0.742.122\pdf.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll
CHR - plugin: Google Update (Enabled) = C:\Dokumente und Einstellungen\Limberg\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.57\npGoogleUpdate3.dll
CHR - plugin: Default Plug-in (Enabled) = default_plugin
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Conduit Engine ) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\prxtbWin0.dll (Conduit Ltd.)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe (HP)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] nwiz.exe /installquiet File not found
O4 - HKCU..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart File not found
O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil10h_Plugin.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FRITZ!fax.lnk =  File not found
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_43C348BC2E93EB2B.dll/cmsidewiki.html File not found
O9 - Extra Button: Snip Dies! - {C3881663-B3FA-49F4-BA57-183B02F47280} - C:\WINDOWS\System32\snipit.dll ()
O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab (LSSupCtl Class)
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab (HP Download Manager)
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab (ActiveDataInfo Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4AD48C31-B07F-47F1-8017-93E4B7143562}: NameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{961A8F4B-54FF-478B-98F2-A3392BE48C50}: NameServer = 192.168.2.10
O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\MSITSS.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Limberg\Anwendungsdaten\mahmud.exe) -C:\Dokumente und Einstellungen\Limberg\Anwendungsdaten\mahmud.exe ()
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Limberg\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Limberg\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O31 - SafeBoot: UseAlternatShell - 1
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.02.18 20:03:33 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{d763d818-c869-11da-8507-000fea412938}\Shell - "" = AutoRun
O33 - MountPoints2\{d763d818-c869-11da-8507-000fea412938}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{d763d818-c869-11da-8507-000fea412938}\Shell\AutoRun\command - "" = F:\LaunchU3.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {8D1D0E9A-C799-4D28-9E29-0061D1E66E43} - Microsoft .NET Framework 1.1 Hotfix (KB928366)
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe - (Hewlett-Packard Co.)
MsConfig - StartUpReg: HP Component Manager - hkey= - key= -  File not found
MsConfig - StartUpReg: HPDJ Taskbar Utility - hkey= - key= -  File not found
MsConfig - StartUpReg: NvCplDaemon - hkey= - key= -  File not found
MsConfig - StartUpReg: nwiz - hkey= - key= -  File not found
MsConfig - StartUpReg: SoundMan - hkey= - key= - C:\WINDOWS\SoundMan.exe (Realtek Semiconductor Corp.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2
 
CREATERESTOREPOINT
Error creating restore point.
 
========== Files/Folders - Created Within 30 Days ==========
 
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.10.11 13:36:32 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.10.11 13:10:05 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.10.11 10:43:41 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.10.10 17:05:33 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.10.08 18:56:42 | 000,201,216 | ---- | M] () -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\mahmud.exe
[2011.10.08 09:15:00 | 000,000,400 | ---- | M] () -- C:\WINDOWS\tasks\1-Klick-Wartung.job
[2011.10.07 09:15:49 | 000,002,463 | ---- | M] () -- C:\Dokumente und Einstellungen\Peter\Desktop\Microsoft Access.lnk
[2011.10.06 20:21:48 | 000,272,291 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2011.10.06 02:12:06 | 000,329,276 | ---- | M] () -- D:\Eigene Dateien\Vertragsänderung RGT Sabine.eml
[2011.10.05 12:09:26 | 000,380,928 | ---- | M] () -- C:\Dokumente und Einstellungen\Peter\Desktop\Telefonliste.mdb
[2011.09.26 18:11:46 | 000,018,464 | ---- | M] () -- C:\Dokumente und Einstellungen\Peter\UStVA2011_08_August_Willibald_Limberg.elfo
[2011.09.26 18:04:22 | 000,019,306 | ---- | M] () -- C:\Dokumente und Einstellungen\Peter\UStVA2011_07_Juli_Willibald_Limberg.elfo
[2011.09.26 04:04:50 | 000,319,523 | ---- | M] () -- D:\Eigene Dateien\Fa_ Hohgardt Silikonanlage 2..eml
[2011.09.26 04:03:11 | 000,319,523 | ---- | M] () -- D:\Eigene Dateien\Fa_ Hohgardt Silikonanlage.eml
[2011.09.25 20:05:20 | 000,062,217 | ---- | M] () -- D:\Eigene Dateien\D - Liefer- und Zahlungsbedingungen.pdf
[2011.09.25 20:05:20 | 000,059,673 | ---- | M] () -- D:\Eigene Dateien\Auftrag Vertrieb43687.pdf
[2011.09.25 20:05:20 | 000,034,340 | ---- | M] () -- D:\Eigene Dateien\Rechnung20111502.pdf
[2011.09.25 20:05:20 | 000,030,825 | ---- | M] () -- D:\Eigene Dateien\Hülsen Hohgart.pdf
[2011.09.25 20:05:19 | 000,053,491 | ---- | M] () -- D:\Eigene Dateien\Angebot Vertrieb18288A.pdf
[2011.09.24 14:27:26 | 000,002,495 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Microsoft Word.lnk
[2011.09.13 19:34:20 | 000,021,653 | ---- | M] () -- D:\Eigene Dateien\Fw_ Einfach genial.eml
[2011.09.13 19:33:51 | 000,024,776 | ---- | M] () -- D:\Eigene Dateien\Spanische Kartoffelsuppe.eml
[2011.09.12 10:58:30 | 000,066,685 | ---- | M] () -- D:\Eigene Dateien\Ihre STRATO-Rechnung für Kundennummer 61831500.eml
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.10.08 18:56:42 | 000,201,216 | ---- | C] () -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\mahmud.exe
[2011.10.06 02:12:06 | 000,329,276 | ---- | C] () -- D:\Eigene Dateien\Vertragsänderung RGT Sabine.eml
[2011.09.26 18:11:20 | 000,018,464 | ---- | C] () -- C:\Dokumente und Einstellungen\Peter\UStVA2011_08_August_Willibald_Limberg.elfo
[2011.09.26 18:03:39 | 000,019,306 | ---- | C] () -- C:\Dokumente und Einstellungen\Peter\UStVA2011_07_Juli_Willibald_Limberg.elfo
[2011.09.26 04:04:50 | 000,319,523 | ---- | C] () -- D:\Eigene Dateien\Fa_ Hohgardt Silikonanlage 2..eml
[2011.09.26 04:03:11 | 000,319,523 | ---- | C] () -- D:\Eigene Dateien\Fa_ Hohgardt Silikonanlage.eml
[2011.09.25 20:05:20 | 000,062,217 | ---- | C] () -- D:\Eigene Dateien\D - Liefer- und Zahlungsbedingungen.pdf
[2011.09.25 20:05:20 | 000,034,340 | ---- | C] () -- D:\Eigene Dateien\Rechnung20111502.pdf
[2011.09.25 20:05:20 | 000,030,825 | ---- | C] () -- D:\Eigene Dateien\Hülsen Hohgart.pdf
[2011.09.25 20:05:19 | 000,059,673 | ---- | C] () -- D:\Eigene Dateien\Auftrag Vertrieb43687.pdf
[2011.09.25 20:05:19 | 000,053,491 | ---- | C] () -- D:\Eigene Dateien\Angebot Vertrieb18288A.pdf
[2011.09.13 19:34:20 | 000,021,653 | ---- | C] () -- D:\Eigene Dateien\Fw_ Einfach genial.eml
[2011.09.13 19:33:51 | 000,024,776 | ---- | C] () -- D:\Eigene Dateien\Spanische Kartoffelsuppe.eml
[2011.09.12 10:58:30 | 000,066,685 | ---- | C] () -- D:\Eigene Dateien\Ihre STRATO-Rechnung für Kundennummer 61831500.eml
[2009.11.10 17:17:03 | 000,000,151 | ---- | C] () -- C:\WINDOWS\PhotoSnapViewer.INI
[2009.10.30 10:54:37 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009.10.08 19:50:14 | 000,077,832 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009.06.27 18:24:10 | 000,007,680 | ---- | C] () -- C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.11.24 12:06:33 | 000,000,046 | ---- | C] () -- C:\WINDOWS\hmview.ini
[2008.10.08 20:18:56 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008.04.15 09:40:43 | 000,103,535 | ---- | C] () -- C:\WINDOWS\hpoins04.dat
[2008.04.15 09:40:43 | 000,017,176 | ---- | C] () -- C:\WINDOWS\hpomdl04.dat
[2008.03.30 15:09:48 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2008.02.09 21:05:35 | 002,293,286 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2008.02.09 20:34:32 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2008.01.28 18:57:46 | 000,000,032 | ---- | C] () -- C:\WINDOWS\autorun.INI
[2007.04.14 02:48:36 | 000,000,000 | ---- | C] () -- C:\WINDOWS\pcvcdvw.INI
[2006.12.01 09:35:38 | 000,053,760 | ---- | C] () -- C:\WINDOWS\System32\JupZLib.dll
[2006.07.31 18:42:15 | 000,052,858 | ---- | C] () -- C:\WINDOWS\System32\interceptor.sys
[2006.07.31 18:42:15 | 000,027,219 | ---- | C] () -- C:\WINDOWS\System32\drivers\GDTdiIcpt.sys
[2005.09.16 11:14:58 | 000,000,156 | ---- | C] () -- C:\WINDOWS\Pokervid.INI
[2005.09.16 09:05:38 | 000,000,084 | ---- | C] () -- C:\WINDOWS\WSST_Screen_Saver.ini
[2005.09.16 09:05:36 | 000,180,224 | ---- | C] () -- C:\WINDOWS\UninstallWSST.exe
[2005.09.16 09:00:37 | 000,000,089 | ---- | C] () -- C:\WINDOWS\vpetting.ini
[2005.08.21 15:22:30 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2005.03.29 16:39:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\distlib.ini
[2005.02.25 23:36:49 | 000,033,041 | ---- | C] () -- C:\WINDOWS\SnipIt-Uninstall.exe
[2005.02.25 21:22:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OFFA.INI
[2005.02.25 20:10:56 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2005.02.19 16:11:57 | 000,030,720 | ---- | C] () -- C:\WINDOWS\regtlib.exe
[2005.02.18 21:51:08 | 000,001,240 | ---- | C] () -- C:\Dokumente und Einstellungen\Peter\Lokale Einstellungen\Anwendungsdaten\FASTWiz.html
[2005.02.18 21:37:29 | 000,001,295 | -H-- | C] () -- C:\WINDOWS\wcx_ftp.ini
[2005.02.18 21:36:07 | 000,003,191 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2005.02.18 21:18:45 | 000,000,164 | ---- | C] () -- C:\WINDOWS\avrack.ini
[2005.02.18 20:06:35 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2005.02.18 20:00:11 | 000,023,504 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2005.02.18 19:53:12 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.02.18 19:52:05 | 000,118,952 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2004.08.04 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004.08.04 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 14:00:00 | 000,449,614 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004.08.04 14:00:00 | 000,432,892 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004.08.04 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 14:00:00 | 000,081,992 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004.08.04 14:00:00 | 000,069,278 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004.08.04 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 14:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004.08.04 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004.08.04 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004.03.30 09:15:02 | 000,051,200 | ---- | C] () -- C:\WINDOWS\System32\ThriXXX010205PNG.dll
[2004.03.30 09:15:01 | 000,056,832 | ---- | C] () -- C:\WINDOWS\System32\ThriXXX015003JP2.dll
[2004.03.30 09:15:01 | 000,023,040 | ---- | C] () -- C:\WINDOWS\System32\ThriXXX010104Z.dll
[2003.05.23 12:08:52 | 000,107,008 | ---- | C] () -- C:\WINDOWS\System32\vorbis.dll
[2003.05.23 12:08:52 | 000,020,992 | ---- | C] () -- C:\WINDOWS\System32\ogg.dll
[2003.04.05 18:17:52 | 000,573,440 | ---- | C] () -- C:\WINDOWS\System32\xvid.dll
[2003.03.18 01:51:38 | 000,020,552 | ---- | C] () -- C:\WINDOWS\System32\snipit.dll
[2002.12.14 22:46:04 | 000,921,600 | ---- | C] () -- C:\WINDOWS\System32\vorbisenc.dll
[2002.12.14 22:46:04 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\oggDS.dll
[2002.11.01 03:00:00 | 001,187,314 | ---- | C] () -- C:\WINDOWS\System32\fdslbase.bin
 
========== LOP Check ==========
 
[2010.09.22 14:37:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EasyPCGate
[2011.07.20 18:25:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2010.09.22 14:37:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ImagesWords
[2011.06.29 17:39:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\1072734
[2008.07.16 15:47:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\CommunicaEtor
[2010.09.22 14:37:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\EasyPCGate
[2011.09.13 20:32:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\elsterformular
[2008.02.09 20:41:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\FRITZ!
[2009.04.21 08:03:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\GrabIt
[2008.05.08 17:34:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\ImagesWords
[2009.08.05 16:19:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\IrfanView
[2008.01.28 19:00:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\TuneUp Software
[2011.10.08 09:15:00 | 000,000,400 | ---- | M] () -- C:\WINDOWS\Tasks\1-Klick-Wartung.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011.07.20 18:25:42 | 000,000,000 | -HSD | M] -- C:\Config.Msi
[2005.02.18 20:09:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2008.02.09 20:23:52 | 000,000,000 | ---D | M] -- C:\Intel
[2008.02.09 21:07:21 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2008.03.27 15:25:13 | 000,000,000 | ---D | M] -- C:\Offa
[2011.07.20 18:25:06 | 000,000,000 | R--D | M] -- C:\Programme
[2005.02.18 21:29:25 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2008.04.14 13:18:44 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.10.11 13:34:32 | 000,000,000 | ---D | M] -- C:\Temp
[2008.10.14 19:00:01 | 000,000,000 | ---D | M] -- C:\Util
[2005.09.09 15:26:37 | 000,000,000 | ---D | M] -- C:\Vaillant
[2011.10.11 13:36:20 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.manifest /3 >
[2 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: EXPLORER.EXE  >
[2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2007.06.13 15:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
[2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\explorer.exe
[2007.06.13 15:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\SoftwareDistribution\Download\e94b50580b3d9c69a3c27b7653239432\sp2gdr\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2004.08.04 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\Util\Options\i386\REGEDIT.EXE
[2004.08.04 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe
[2008.04.14 07:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe
[2008.04.14 07:53:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe
[2008.04.14 04:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\userinit.exe
[2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2008-10-05 11:01:35
 
<          >

< End of report >
--- --- ---
OTL Logfile:
Code:
OTL Extras logfile created on: 11.10.2011 13:37:47 - Run 1
OTL by OldTimer - Version 3.2.29.1    Folder = G:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,23 Mb Total Physical Memory | 853,91 Mb Available Physical Memory | 83,45% Memory free
2,16 Gb Paging File | 2,12 Gb Available in Paging File | 98,18% Paging File free
Paging file location(s): C:\pagefile.sys 1280 3500 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 14,76 Gb Free Space | 50,37% Space Free | Partition Type: NTFS
Drive D: | 47,39 Gb Total Space | 27,98 Gb Free Space | 59,03% Space Free | Partition Type: NTFS
Drive G: | 999,70 Mb Total Space | 935,64 Mb Free Space | 93,59% Space Free | Partition Type: FAT
 
Computer Name: BUERO3 | User Name: Peter | Logged in as Administrator.
Boot Mode: SafeMode | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
"3389:TCP" = 3389:TCP:*:Enabled:@xpsp2res.dll,-22009
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\WINDOWS\system32\usmt\migwiz.exe" = C:\WINDOWS\system32\usmt\migwiz.exe:*:Enabled:Assistent zum Übertragen von Dateien und Einstellungen -- (Microsoft Corporation)
"C:\Util\KEN!\update.exe" = C:\Util\KEN!\update.exe:*:Enabled:update
"C:\Programme\IncrediMail\bin\IMApp.exe" = C:\Programme\IncrediMail\bin\IMApp.exe:*:Enabled:IncrediMail
"C:\Programme\IncrediMail\bin\IncMail.exe" = C:\Programme\IncrediMail\bin\IncMail.exe:*:Enabled:IncrediMail
"C:\Programme\IncrediMail\bin\ImpCnt.exe" = C:\Programme\IncrediMail\bin\ImpCnt.exe:*:Enabled:IncrediMail
"C:\Temp\_ISTMP1.DIR\_INS5576._MP" = C:\Temp\_ISTMP1.DIR\_INS5576._MP:*:Enabled:InstallShield Engine
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{15095BF3-A3D7-4DDF-B193-3A496881E003}" = Microsoft .NET Framework 3.0
"{15EE79F4-4ED1-4267-9B0F-351009325D7D}" = HP Software Update
"{1E04F83B-2AB9-4301-9EF7-E86307F79C72}" = Google Earth
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{1F63ED0B-EDD2-4037-B6AB-1358C624AF48}" = Scan
"{1F7473D9-6C0B-4F5A-8FA4-AB8AD78CBE54}" = DocProc
"{29B50D30-EAFC-4cea-9F76-3A0E3729E9B0}" = SkinsHP1
"{2E132061-C78A-48D4-A899-1D13B9D189FA}" = Memories Disc Creator 2.0
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3CF78481-FB7B-4B51-99A2-D5E0CD0B3AAF}" = HPSystemDiagnostics
"{3D5E5C0A-5B36-4F98-99A7-287F7DBDCE03}" = Skype Plugin Manager
"{48242276-DB89-42e8-9678-BD4280D7B99A}" = Copy
"{491DD792-AD81-429C-9EB4-86DD3D22E333}" = Windows Communication Foundation
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6975E810-C92F-45F0-0BFD-187B312F10E8}" = Norton Ghost
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{7131646D-CD3C-40F4-97B9-CD9E4E6262EF}" = Microsoft .NET Framework 2.0
"{723C033E-63EA-4227-BAB2-0AA8693C16EB}" = Director
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{745A92AF-53B4-41A7-91C3-9B026B1D5897}" = InstantShare
"{7D1B85BD-AA07-48B8-808D-67A4067FC6BD}" = Windows Workflow Foundation
"{81DD5688-695A-4c1d-AE7D-368BF857725A}" = TrayApp
"{8777AC6D-89F9-4793-8266-DE406F343E89}" = QFolder
"{8E00A1E0-921D-11D4-9F9F-A5A5A5A5A5A5}" = T-Concept X321 XI321
"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9B03C535-3AEA-4ef2-B326-0A01A2207034}" = CreativeProjects
"{A1062847-0846-427A-92A1-BB8251A91E91}" = HP PSC & OfficeJet 4.2
"{A4EA3AB4-E78C-4286-96DF-26035507CE55}" = AiO_Scan
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A70000000000}" = Adobe Reader 7.0 - Deutsch
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BC339BFD-F550-471a-8D26-4D08126C62F7}" = SkinsHP2
"{C950420B-4182-49EA-850A-A6A2ABF06C6B}" = Marvell Miniport Driver
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CBE3E0AF-73BB-4c21-8B96-B09E003EDE7F}" = QuickProjects
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E8BFBD0A-8002-4dc9-869C-E495FA9DCE7A}" = PhotoGallery
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F23F822C-CC19-4793-A916-9C448D061475}" = Großer Reiseplaner 2003/2004
"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio
"{FBBF532A-47AC-457d-AC06-0D3163D8911E}" = WebReg
"{FF102450-55AA-4AE1-ACE4-E271E2470C83}" = hpmdtab
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"aEton CommunicaEor" = aEton CommunicaEor
"Avira AntiVir Desktop" = Avira AntiVir Personal - Free Antivirus
"conduitEngine" = Conduit Engine
"ElsterFormular für Unternehmer 12.2.0.6412u" = ElsterFormular für Unternehmer
"Enable S3 for USB Device" = Enable S3 for USB Device
"Free Audio CD Burner_is1" = Free Audio CD Burner version 1.2
"hp officejet 5100 series" = hp officejet 5100 series TWAIN Data Source
"hp officejet 5100 series 1109362220" = hp officejet 5100 series - 1
"HP Photo & Imaging" = HP Image Zone 4.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0" = Microsoft .NET Framework 2.0
"Microsoft .NET Framework 3.0" = Microsoft .NET Framework 3.0
"Mozilla Firefox 7.0.1 (x86 de)" = Mozilla Firefox 7.0.1 (x86 de)
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"Nero - Burning Rom!UninstallKey" = Nero 6 Enterprise Edition
"Nero BurnRights!UninstallKey" = Nero BurnRights
"NeroVision!UninstallKey" = Nero Digital
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"QuickPar" = QuickPar 0.9
"Skype_is1" = Skype 3.0
"SLD CODEC PACK 1.5.3" = SLD CODEC PACK 1.5.3
"SnipItButton" = Knopf Snip Dies! für www.de.snip.pl
"Totalcmd" = Total Commander (Remove or Repair)
"Uninstall_is1" = Uninstall 1.0.0.1
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"Winload Toolbar" = Winload Toolbar
"WinRAR archiver" = WinRAR Archivierer
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 29.10.2010 03:50:58 | Computer Name = BUERO3 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes
 Modul dbghelp.dll, Version 5.1.2600.5512, Fehleradresse 0x0001295d.
 
Error - 29.10.2010 03:51:03 | Computer Name = BUERO3 | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich 223874319.
 
Error - 23.03.2011 08:53:09 | Computer Name = BUERO3 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung wmplayer.exe, Version 11.0.5721.5145, fehlgeschlagenes
 Modul clvsd.ax, Version 3.5.0.1011, Fehleradresse 0x00039caf.
 
Error - 23.03.2011 08:53:40 | Computer Name = BUERO3 | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich 341732724.
 
Error - 01.04.2011 03:31:34 | Computer Name = BUERO3 | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung wmplayer.exe, Version 11.0.5721.5145, fehlgeschlagenes
 Modul clvsd.ax, Version 3.5.0.1011, Fehleradresse 0x00039caf.
 
Error - 01.04.2011 03:32:10 | Computer Name = BUERO3 | Source = Application Error | ID = 1001
Description = Fehlerhafter Speicherbereich 341732724.
 
Error - 25.07.2011 05:45:32 | Computer Name = BUERO3 | Source = MSDTC | ID = 4404
Description = Infrastruktur der MS DTC-Ablaufverfolgung: Fehler beim Initialisieren
 der Infrastruktur der Ablaufverfolgung. Interne Informationen: msdtc_trace : File:
 d:\xpsp\com\com1x\dtc\dtc\trace\src\tracelib.cpp, Line: 1115, StartTrace Failed,
 hr=0x8007001f 
 
Error - 27.07.2011 09:28:11 | Computer Name = BUERO3 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 28.07.2011 00:55:13 | Computer Name = BUERO3 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 23.08.2011 07:11:41 | Computer Name = BUERO3 | Source = ESENT | ID = 490
Description = svchost (944) Versuch, Datei "C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb"
 für den Lese-/Schreibzugriff zu öffnen, ist mit Systemfehler 32 (0x00000020): "Der
 Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet
 wird. " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Öffnen von Dateien.
 
[ System Events ]
Error - 11.10.2011 04:59:25 | Computer Name = BUERO3 | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 11.10.2011 05:15:55 | Computer Name = BUERO3 | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 11.10.2011 05:16:11 | Computer Name = BUERO3 | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 11.10.2011 05:16:18 | Computer Name = BUERO3 | Source = Disk | ID = 262151
Description = Fehlerhafter Block bei Gerät \Device\Harddisk0\D.
 
Error - 11.10.2011 07:37:09 | Computer Name = BUERO3 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
 mit den Argumenten ""  gestartet wurde, um den folgenden Server zu verwenden:  {1BE1F766-5536-11D1-B726-00C04FB926AF}
 
Error - 11.10.2011 07:37:45 | Computer Name = BUERO3 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DHCP-Client" ist vom Dienst "NetBios über TCP/IP" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:  %%31
 
Error - 11.10.2011 07:37:45 | Computer Name = BUERO3 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "DNS-Client" ist vom Dienst "TCP/IP-Protokolltreiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:  %%31
 
Error - 11.10.2011 07:37:45 | Computer Name = BUERO3 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "TCP/IP-NetBIOS-Hilfsprogramm" ist vom Dienst "AFD" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:  %%31
 
Error - 11.10.2011 07:37:45 | Computer Name = BUERO3 | Source = Service Control Manager | ID = 7001
Description = Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig,
 der aufgrund folgenden Fehlers nicht gestartet wurde:  %%31
 
Error - 11.10.2011 07:37:45 | Computer Name = BUERO3 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
  AFD  avgio  avipbb  Fips  intelppm  IPSec  MRxSmb  NetBIOS  NetBT  RasAcd  Rdbss  ssmdrv  Tcpip
 
 
[COLOR="Red"]< End of report >
--- --- ---

CSS 11.10.2011 13:17
vom andern pc kommen sofort die letzten logs würde mich echt freuen wenn mir mal einer verrät wie ich nen neues Thema aufmache nach 2 stunden suche immer noch nichts gefunden

CSS 11.10.2011 13:23
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
esets_scanner_update returned -1 esets_gle=1
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=a2d87656fa723c45beb2800e41b1aeb9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-10 09:03:50
# local_time=2011-10-10 11:03:50 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1798 16775141 100 95 5466 57711251 0 0
# compatibility_mode=8192 67108863 100 0 213 213 0 0
# scanned=47536
# found=0
# cleaned=0
# scan_time=1888
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=a2d87656fa723c45beb2800e41b1aeb9
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-11 12:10:36
# local_time=2011-10-11 02:10:36 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1798 16775125 100 95 13695 57806083 6470 0
# compatibility_mode=8192 67108863 100 0 95045 95045 0 0
# scanned=44169
# found=0
# cleaned=0
# scan_time=4665

_____________________________

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7920

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.10.2011 11:52:19
mbam-log-2011-10-11 (11-52-19).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 239565
Laufzeit: 34 Minute(n), 48 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

___________________________________

SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 10/11/2011 at 12:40 PM

Application Version : 5.0.1128

Core Rules Database Version : 7778
Trace Rules Database Version: 5590

Scan type : Complete Scan
Total Scan Time : 00:25:09

Operating System Information
Windows XP Professional 32-bit, Service Pack 3 (Build 5.01.2600)
Administrator

Memory items scanned : 528
Memory threats detected : 0
Registry items scanned : 36044
Registry threats detected : 0
File items scanned : 44378
File threats detected : 1

Unclassified.Unknown Origin
C:\DOKUMENTE UND EINSTELLUNGEN\''''\EIGENE DATEIEN\OFFICE\ANTI PRODUCT ACTIVATION OFFICE 2003 & XP\KEYGEN.NFO

cosinus 11.10.2011 14:24
Zitat:
Unclassified.Unknown Origin
C:\DOKUMENTE UND EINSTELLUNGEN\''''\EIGENE DATEIEN\OFFICE\ANTI PRODUCT ACTIVATION OFFICE 2003 & XP\KEYGEN.NFO
:koch: :pfui:

CSS 11.10.2011 14:28
wie gesagt sind pcs von bekannten habe nie selber was instaliert auf den pcs würde mich über weitere hilfe freuen

cosinus 11.10.2011 14:37
nagut :pfeiff:
Aber auch nur weil die INFO-Datei und nicht der keygen selbst gefunden wurde und weil auch kein Office2003 installiert wurde.

Warum postest du hier eigentlich schon wieder OTL-Logs von einem offensichtlich anderen Rechner? :balla: Jeder Rechner soll doch hier einen eigenen Strang haben...

CSS 11.10.2011 14:45
weil ich einfach zu blöde bin hier den richtigen platz zu finden wo ich nen neues thema oder wie man das nennt aufmache bin den ganzen tag schon am suchen bzw letzten 3 ihr seit einfach meiner meinung nach das beste board etliche andere auch schon angeschaut namen werden net genannt:rofl: suche halt verlässliche hilfe und keine leute die einfach nur irgendnen mist posten der einem net hilft.
Werde wenn eure Hilfe weiterhin so gut sein sollte die nächsten jahre hier noch sein ich denke 30€als spende dürften das board freuen =)

cosinus 11.10.2011 14:46
Ja mach doch einfach ein neues Thema auf :confused:

CSS 11.10.2011 14:52
das ist es ja :( ich weiss net wo :confused: finde nirgends neues thema aufmachen oder ähnliches

CSS 11.10.2011 15:00
wäre cool wenn mir evtl nen link schicken kannst wo ich nen neues thema für den anderen pc erstellen kann das ich es in zukunft endlich richtig mache :daumenhoc und würd gern wissen ob der pc wo die key info gefunden wurde endlich sicher ist ? :kaffee:

cosinus 11.10.2011 15:13
Einfach hier => http://www.trojaner-board.de/log-ana...nd-auswertung/
Oben links auf diesen Button klicken => http://www.trojaner-board.de/images/.../newthread.gif

Der andere Rechner scheint offensichtlich wieder ok zu sein, TROTZ des Fundes aber es ja nur eine NFO-Datei und nicht der ausführbare Keygen selbst :pfeiff:
Hast du mit dem Rechner noch Probleme oder weitere Funde?

CSS 11.10.2011 15:16
perfekt danke dir :abklatsch:
ersma link speichern :daumenhoc:Boogie:
so hoffe das der eine pc endlich fertig ist^^
finds aber echt genial das forum lerne so vieles hier vorallem
nützlich für meinen weiteren berufsweg wollte mich auf virenbeseitigung spezialisieren :rofl::kaffee:

ps. jeder fängt mal an ^^

CSS 11.10.2011 15:18
probleme habe ich gar keine momentan mehr mit dem rechner die info war der letzte fund der da wa also könnt ich nun die ganzen virenscan programme löschen richtig ?

cosinus 11.10.2011 15:19
Dann wären wir (mit diesem Rechner) durch! :abklatsch:

Die Programme, die hier zum Einsatz kamen, können alle wieder runter. CF kann über Start, Ausführen mit combofix /uninstall entfernt werden. Melde dich falls es da Fehlermeldungen zu gibt.
Malwarebytes zu behalten ist kein Fehler. Kannst ja 1x im Monat damit scannen, aber immer vorher ans Update denken.

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu. Um in Zukunft die Aktualität der installierten Programme besser im Überblick zu halten, kannst du zB Secunia PSI verwenden.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update


PDF-Reader aktualisieren
Ein veralteter AdobeReader stellt ein großes Sicherheitsrisiko dar. Du solltest daher besser alte Versionen vom AdobeReader über Systemsteuerung => Software bzw. Programme und Funktionen deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. (falls du AdobeReader installiert hast)

Ich empfehle einen alternativen PDF-Reader wie PDF Xchange Viewer, SumatraPDF oder Foxit PDF Reader, die sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink:

Mozilla und andere Browser => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Natürlich auch darauf achten, dass andere installierte Browser wie zB Firefox, Opera oder Chrome aktuell sind.


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

CSS 11.10.2011 15:23
perfekt danke dir für deine super hilfe :abklatsch:
werde direkt ein neues thema für den anderen computer aufmachen kannst das hier dann eigentlich schließen^^


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:56 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131