Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   White Screen - Verbindung wird hergestellt (https://www.trojaner-board.de/112245-white-screen-verbindung-hergestellt.html)

bloeci 24.03.2012 22:49

White Screen - Verbindung wird hergestellt
 
Hallo zusammen, ein bekannter ist wohl auch einem Virus zum Opfer gefallen. Es handelt sich um das Phänomen, dass unmittelbar nach dem Hochfahren ein weißer Bildschirm mit dem Hinweis "Warten Sie während die Verbindung hergestellt wird" und ebenso in Englisch angezeigt wird.

Ich habe das eine oder andere hier gelesen und bereits das LOG aus OTLPE erstellt.

Vielleicht könnt Ihr mir auch helfen? Vielen Dank schon mal!


Code:

OTL logfile created on: 3/25/2012 1:42:02 AM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows 2000 Service Pack 4 (Version = 5.0.2195) - Type = SYSTEM
Internet Explorer (Version = 6.0.2800.1106)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
503.00 Mb Total Physical Memory | 343.00 Mb Available Physical Memory | 68.00% Memory free
455.00 Mb Paging File | 345.00 Mb Available in Paging File | 76.00% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINNT | %ProgramFiles% = C:\Programme
Drive C: | 18.64 Gb Total Space | 9.27 Gb Free Space | 49.73% Space Free | Partition Type: NTFS
Drive D: | 7.45 Gb Total Space | 7.45 Gb Free Space | 100.00% Space Free | Partition Type: FAT32
Drive E: | 37.27 Gb Total Space | 34.50 Gb Free Space | 92.57% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Unavailable] --  -- (IAS)
SRV - [2011/04/22 08:21:10 | 000,092,592 | ---- | M] (TomTom) [Auto] -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService)
SRV - [2010/01/25 05:02:20 | 000,067,360 | ---- | M] (NOS Microsystems Ltd.) [On_Demand] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2009/07/21 08:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2005/06/03 02:37:10 | 000,123,152 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINNT\system32\mstask.exe -- (Schedule)
SRV - [2005/04/03 19:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2005/03/30 11:46:56 | 000,411,920 | ---- | M] (Eastman Kodak Company) [On_Demand] -- C:\WINNT\system32\drivers\KodakCCS.exe -- (KodakCCS)
SRV - [2003/06/19 15:05:04 | 000,196,706 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINNT\system32\wbem\WinMgmt.exe -- (WinMgmt)
SRV - [2003/06/19 15:05:04 | 000,147,728 | ---- | M] (VERITAS Software Corp.) [On_Demand] -- C:\WINNT\System32\dmadmin.exe -- (dmadmin)
SRV - [2003/06/19 15:05:04 | 000,096,016 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\WINNT\system32\FAXSVC.EXE -- (Fax)
SRV - [2003/06/19 15:05:04 | 000,068,368 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINNT\system32\regsvc.exe -- (RemoteRegistry)
SRV - [2003/06/19 15:05:04 | 000,062,224 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINNT\system32\stisvc.exe -- (StiSvc)
SRV - [2003/06/19 15:05:04 | 000,022,800 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\WINNT\system32\utilman.exe -- (UtilMan)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | System] --  -- (tga)
DRV - File not found [Kernel | System] --  -- (sglfb)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2009/05/11 04:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINNT\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/03/30 04:32:15 | 000,097,512 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINNT\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009/03/24 10:07:19 | 000,065,240 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINNT\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2006/01/11 19:00:00 | 000,152,336 | ---- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\e100bnt5.sys -- (E100B) Intel(R)
DRV - [2005/06/16 09:41:02 | 000,037,150 | ---- | M] (Eastman Kodak Company) [Kernel | System] -- C:\WINNT\system32\drivers\DcCam.sys -- (DcCam)
DRV - [2005/03/31 03:00:08 | 000,152,081 | ---- | M] (Eastman Kodak Company) [Kernel | System] -- C:\WINNT\system32\drivers\ExportIt.sys -- (Exportit)
DRV - [2005/03/31 02:47:56 | 000,070,262 | ---- | M] (Eastman Kodak Company) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\DcPtp.sys -- (DcPTP)
DRV - [2005/03/31 02:47:50 | 000,008,022 | ---- | M] (Eastman Kodak Company) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\DcLps.sys -- (DcLps)
DRV - [2005/03/31 02:47:48 | 000,038,673 | ---- | M] (Eastman Kodak Company) [Kernel | Auto] -- C:\WINNT\system32\drivers\DCFS2k.sys -- (DCFS2K)
DRV - [2005/03/31 02:47:42 | 000,061,564 | ---- | M] (Eastman Kodak Company) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\DcFpoint.sys -- (DcFpoint)
DRV - [2003/06/19 15:05:04 | 000,369,104 | ---- | M] (VERITAS Software Corp.) [Kernel | Disabled] -- C:\WINNT\system32\drivers\dmboot.sys -- (dmboot)
DRV - [2003/06/19 15:05:04 | 000,137,936 | ---- | M] (VERITAS Software Corp.) [Kernel | Boot] -- C:\WINNT\system32\drivers\dmio.sys -- (dmio)
DRV - [2003/06/19 15:05:04 | 000,060,368 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\parallel.sys -- (Parallel)
DRV - [2003/06/19 15:05:04 | 000,049,776 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\usbhub20.sys -- (usbhub20)
DRV - [2003/06/19 15:05:04 | 000,032,848 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\uhcd.sys -- (uhcd)
DRV - [2003/06/19 15:05:04 | 000,027,440 | ---- | M] (Microsoft Corporation) [File_System | Disabled] -- C:\WINNT\System32\drivers\efs.sys -- (EFS)
DRV - [2003/06/19 15:05:04 | 000,007,728 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\WINNT\System32\drivers\diskperf.sys -- (Diskperf)
DRV - [2003/06/19 15:05:04 | 000,007,312 | ---- | M] (VERITAS Software Corp.) [Kernel | Boot] -- C:\WINNT\system32\drivers\dmload.sys -- (dmload)
DRV - [2001/05/08 07:00:00 | 000,021,712 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\rca.sys -- (RCA) Microsoft Streaming Network-RCA (Raw Channel Access)
DRV - [2001/05/08 07:00:00 | 000,009,680 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\netdtect.sys -- (NetDetect)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\System32\blank.htm
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.de/
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Förster_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\Förster_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Förster_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/webhp?rls=ig"
FF - prefs.js..extensions.enabledItems: {E2883E8F-472F-4fb0-9522-AC9BF37916A7}:1.6.2.60
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINNT\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.27\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/02/20 09:41:09 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.27\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/02/20 04:39:19 | 000,000,000 | ---D | M]
 
[2010/02/11 10:27:27 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Extensions
[2010/02/11 10:33:21 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6jw4e8nz.default\extensions
[2010/02/11 10:33:17 | 000,000,000 | ---D | M] (Adobe DLM (powered by getPlus(R))) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\6jw4e8nz.default\extensions\{E2883E8F-472F-4fb0-9522-AC9BF37916A7}
[2012/03/04 13:46:29 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010/08/21 11:24:26 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2011/07/06 14:56:12 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2011/05/03 22:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2010/12/11 07:03:47 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010/12/11 07:03:48 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010/12/11 07:03:48 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010/12/11 07:03:49 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010/12/11 07:03:49 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2001/05/08 07:00:00 | 000,000,820 | ---- | M]) - C:\WINNT\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKLM\..\Toolbar: (&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKU\Förster_ON_C\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [VX2bt1oYNKCLnkO] C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe (Cutting Edge Software Inc.)
O4 - HKU\.DEFAULT..\Run: [internat.exe] C:\WINNT\System32\internat.exe (Microsoft Corporation)
O4 - HKU\Administrator_ON_C..\Run: [internat.exe] C:\WINNT\System32\internat.exe (Microsoft Corporation)
O4 - HKU\Förster_ON_C..\Run: [EPSON SX410 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_FATIFCE.EXE (SEIKO EPSON CORPORATION)
O4 - HKU\Förster_ON_C..\Run: [internat.exe] C:\WINNT\System32\internat.exe (Microsoft Corporation)
O4 - HKU\Förster_ON_C..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
O4 - HKU\Förster_ON_C..\Run: [VX2bt1oYNKCLnkO] C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe (Cutting Edge Software Inc.)
O4 - HKLM..\RunOnceEx: []  File not found
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Förster\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\Förster_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\Förster_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Förster_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Förster_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O9 - Extra Button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll (Apple Computer, Inc.)
O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\Web\RELATED.HTM ()
O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\Web\RELATED.HTM ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\WINNT\system32\RNR20.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000003 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1265804275531 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?40219.2404513889 (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: DirectAnimation Java Classes file://C:\WINNT\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINNT\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINNT\system32\msdxm.ocx (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe (Cutting Edge Software Inc.)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe (Cutting Edge Software Inc.)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\System32\userinit.exe) -  File not found
O20 - HKU\Förster_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe (Cutting Edge Software Inc.)
O20 - HKU\Förster_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe (Cutting Edge Software Inc.)
O20 - HKU\Förster_ON_C Winlogon: UserInit - (C:\WINDOWS\System32\userinit.exe) -  File not found
O20 - Winlogon\Notify\igfxcui: DllName - igfxsrvc.dll - C:\WINNT\System32\igfxsrvc.dll (Intel Corporation)
O20 - Winlogon\Notify\wzcnotif: DllName - wzcdlg.dll - C:\WINNT\System32\wzcdlg.dll (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: E:\Bilder\2008-06-07\100_0261.JPG
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/02/09 16:00:52 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Microsoft VM
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608555} - Internet Explorer-Klassen für Java
ActiveX: {0fde1f56-0d59-4fd7-9624-e3df6b419d0e} - Internet Explorer ReadMe
ActiveX: {0fde1f56-0d59-4fd7-9624-e3df6b419d0f} - IEEX
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - VML (Vector Graphics Rendering)
ActiveX: {1b0357b8-e3fb-4918-915c-a8eb232c273e} - KB973354
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing-Paket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {4fbff6eb-7540-4f56-a35e-50ff06f9d941} - KB978207
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5f3c70b3-ac2f-432c-8f9c-1624df61f54f} - Microsoft Data Access Components KB870669
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {5ueDxYLo-I543-1otK-kGTs-C9Y55G4HYphK} -
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {685e3910-1f77-49b9-9434-50bcd95c51ab} - KB905495
ActiveX: {6A5110B5-E14B-4268-A065-EF89FF33C325} - regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {86f63941-db5d-4de3-818f-f81f90afb602} - KB978542
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\System32\ie4uinit.exe
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} - %SystemRoot%\System32\updcrl.exe -e -u %SystemRoot%\System32\verisignpub1.crl
ActiveX: {A00BF2EB-56EE-4fde-B5EA-6A8FA425B2A5} - W2KAppComp
ActiveX: {b6609c7e-4ad5-4b8b-9da5-9edbc50f7592} - KB958869
ActiveX: {bfb9c191-4d2f-49bd-aa21-4308475e1cc7} - KB980182
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {f51becec-f7b3-4401-a2f3-88387ad7722b} - KB982381
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Windows Media Player
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - "C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - "C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigOE
 
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Nwsapagent -  File not found
 
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 2
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 0
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/03/05 09:41:18 | 000,304,640 | ---- | C] (Cutting Edge Software Inc.) -- C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe
[4 C:\WINNT\*.tmp files -> C:\WINNT\*.tmp -> ]
[1 C:\WINNT\System32\*.tmp files -> C:\WINNT\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/03/12 14:07:28 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_240.dat
[2012/03/12 14:00:52 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_364.dat
[2012/03/06 04:24:39 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_370.dat
[2012/03/06 04:12:42 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_23c.dat
[2012/03/05 10:08:37 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_238.dat
[2012/03/05 09:41:13 | 000,304,640 | ---- | M] (Cutting Edge Software Inc.) -- C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe
[2012/03/05 09:15:21 | 003,804,160 | R--- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\ESBK.mbb
[2012/03/05 09:15:21 | 001,775,616 | R--- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\ESBK.mb
[2012/03/05 09:02:08 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_234.dat
[2012/03/01 06:29:55 | 000,054,156 | -H-- | M] () -- C:\WINNT\QTFont.qfn
[4 C:\WINNT\*.tmp files -> C:\WINNT\*.tmp -> ]
[1 C:\WINNT\System32\*.tmp files -> C:\WINNT\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/03/12 14:07:28 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_240.dat
[2012/03/12 14:00:52 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_364.dat
[2012/03/06 04:24:39 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_370.dat
[2012/03/06 04:12:42 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_23c.dat
[2012/03/05 10:08:37 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_238.dat
[2012/03/05 09:02:08 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_234.dat
[2011/05/27 06:32:49 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_4bc.dat
[2010/08/21 11:24:26 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_268.dat
[2010/08/21 07:03:41 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_5cc.dat
[2010/08/14 13:17:53 | 000,111,932 | ---- | C] () -- C:\WINNT\System32\EPPICPrinterDB.dat
[2010/08/14 13:17:53 | 000,021,390 | ---- | C] () -- C:\WINNT\System32\EPPICPattern5.dat
[2010/08/14 13:17:53 | 000,011,811 | ---- | C] () -- C:\WINNT\System32\EPPICPattern4.dat
[2010/08/14 13:17:53 | 000,004,943 | ---- | C] () -- C:\WINNT\System32\EPPICPattern6.dat
[2010/08/14 13:17:53 | 000,001,146 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_DU.dat
[2010/08/14 13:17:53 | 000,001,139 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_PT.dat
[2010/08/14 13:17:53 | 000,001,139 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_BP.dat
[2010/08/14 13:17:53 | 000,001,136 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_ES.dat
[2010/08/14 13:17:53 | 000,001,129 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_FR.dat
[2010/08/14 13:17:53 | 000,001,129 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_CF.dat
[2010/08/14 13:17:53 | 000,001,120 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_IT.dat
[2010/08/14 13:17:53 | 000,001,107 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_GE.dat
[2010/08/14 13:17:53 | 000,001,104 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_EN.dat
[2010/08/14 13:17:53 | 000,000,097 | ---- | C] () -- C:\WINNT\System32\PICSDK.ini
[2010/08/14 13:17:52 | 000,031,053 | ---- | C] () -- C:\WINNT\System32\EPPICPattern131.dat
[2010/08/14 13:17:52 | 000,027,417 | ---- | C] () -- C:\WINNT\System32\EPPICPattern121.dat
[2010/08/14 13:17:52 | 000,026,154 | ---- | C] () -- C:\WINNT\System32\EPPICPattern1.dat
[2010/08/14 13:17:52 | 000,024,903 | ---- | C] () -- C:\WINNT\System32\EPPICPattern3.dat
[2010/08/14 13:17:52 | 000,020,148 | ---- | C] () -- C:\WINNT\System32\EPPICPattern2.dat
[2010/07/17 05:44:00 | 000,000,000 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_3ac.dat
[2010/05/06 07:40:49 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_3b4.dat
[2010/05/04 08:19:38 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_3b0.dat
[2010/04/26 07:43:46 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_3bc.dat
[2010/04/20 05:29:10 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_104.dat
[2010/04/17 07:22:37 | 000,000,000 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_27c.dat
[2010/03/18 03:50:17 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_1ec.dat
[2010/03/15 05:37:18 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_2b0.dat
[2010/03/06 17:25:39 | 000,001,763 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2010/02/23 09:48:44 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_394.dat
[2010/02/11 10:27:22 | 000,000,000 | ---- | C] () -- C:\WINNT\nsreg.dat
[2010/02/09 15:58:15 | 000,022,080 | -H-- | C] () -- C:\Programme\folder.htt
[2010/02/09 15:56:52 | 000,015,076 | ---- | C] () -- C:\WINNT\System32\emptyregdb.dat
[2010/02/09 14:41:20 | 000,303,354 | ---- | C] () -- C:\WINNT\System32\PerfStringBackup_001.INI
[2010/02/09 14:41:16 | 000,004,073 | ---- | C] () -- C:\WINNT\ODBCINST.INI
[2010/02/09 14:40:05 | 000,100,640 | ---- | C] () -- C:\WINNT\System32\FNTCACHE.DAT
[2001/05/08 07:00:00 | 000,673,088 | ---- | C] () -- C:\WINNT\System32\mlang.dat
[2001/05/08 07:00:00 | 000,300,378 | ---- | C] () -- C:\WINNT\System32\perfh009.dat
[2001/05/08 07:00:00 | 000,289,156 | ---- | C] () -- C:\WINNT\System32\perfh007.dat
[2001/05/08 07:00:00 | 000,272,492 | ---- | C] () -- C:\WINNT\System32\perfi009.dat
[2001/05/08 07:00:00 | 000,252,934 | ---- | C] () -- C:\WINNT\System32\perfi007.dat
[2001/05/08 07:00:00 | 000,217,359 | ---- | C] () -- C:\WINNT\System32\dssec.dat
[2001/05/08 07:00:00 | 000,176,400 | ---- | C] () -- C:\WINNT\System32\qcut.dll
[2001/05/08 07:00:00 | 000,046,258 | ---- | C] () -- C:\WINNT\System32\mib.bin
[2001/05/08 07:00:00 | 000,046,232 | ---- | C] () -- C:\WINNT\System32\perfc007.dat
[2001/05/08 07:00:00 | 000,038,036 | ---- | C] () -- C:\WINNT\System32\perfc009.dat
[2001/05/08 07:00:00 | 000,034,108 | ---- | C] () -- C:\WINNT\System32\perfd007.dat
[2001/05/08 07:00:00 | 000,034,064 | ---- | C] () -- C:\WINNT\System32\efsadu.dll
[2001/05/08 07:00:00 | 000,028,270 | ---- | C] () -- C:\WINNT\System32\perfd009.dat
[2001/05/08 07:00:00 | 000,014,413 | ---- | C] () -- C:\WINNT\System32\iasperf.ini
[2001/05/08 07:00:00 | 000,003,056 | ---- | C] () -- C:\WINNT\System32\faxperf.ini
[2001/05/08 07:00:00 | 000,000,741 | ---- | C] () -- C:\WINNT\System32\noise.dat
[2001/05/08 07:00:00 | 000,000,023 | ---- | C] () -- C:\WINNT\welcome.ini
[2000/09/08 12:53:50 | 000,073,839 | ---- | C] () -- C:\WINNT\System32\KodakOneTouch.dll
[1999/09/25 06:36:24 | 000,088,816 | ---- | C] () -- C:\WINNT\System32\drivers\lvcam.sys
[1999/09/25 06:36:22 | 000,017,424 | ---- | C] () -- C:\WINNT\System32\drivers\lvsound.sys
 
========== LOP Check ==========
 
[2011/01/04 12:33:37 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\.#
[2010/08/14 15:00:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\EPSON
[2010/02/12 03:20:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\OpenOffice.org
[2011/07/06 14:47:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\TomTom
[2010/02/11 12:08:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
[2011/07/06 15:59:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\EPSON
[2011/08/10 04:45:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\OpenOffice.org
[2011/07/18 10:49:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\TomTom
[2010/08/14 13:27:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2011/07/18 10:54:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
[2010/08/14 13:23:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011/10/21 05:18:10 | 000,000,000 | -HSD | M] -- C:\Config.Msi
[2011/09/24 07:04:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2010/03/06 17:07:16 | 000,000,000 | ---D | M] -- C:\KPCMS
[2011/10/21 04:25:43 | 000,000,000 | R--D | M] -- C:\Programme
[2010/02/11 12:14:36 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2012/03/24 23:17:04 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012/03/12 14:02:51 | 000,000,000 | ---D | M] -- C:\WINNT
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: %LOCALAPPDATA%\*.exe
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: AGP440.SYS  >
[2010/02/10 09:52:32 | 010,091,200 | ---- | M] () .cab file -- C:\WINNT\Driver Cache\i386\sp4.cab:AGP440.sys
[2010/02/10 09:52:32 | 010,091,200 | ---- | M] () .cab file -- C:\WINNT\ServicePackFiles\i386\sp4.cab:AGP440.sys
[2003/06/19 15:05:04 | 000,021,008 | ---- | M] (Microsoft Corporation) MD5=CDDB71A90077C93BEA5C72507F0B1394 -- C:\WINNT\ServicePackFiles\i386\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2010/02/10 09:52:32 | 010,091,200 | ---- | M] () .cab file -- C:\WINNT\Driver Cache\i386\sp4.cab:atapi.sys
[2010/02/10 09:52:32 | 010,091,200 | ---- | M] () .cab file -- C:\WINNT\ServicePackFiles\i386\sp4.cab:atapi.sys
[2003/06/19 15:05:04 | 000,086,672 | ---- | M] (Microsoft Corporation) MD5=8C718AA8C77041B3285D55A0CE980867 -- C:\WINNT\ServicePackFiles\i386\atapi.sys
[2003/06/19 15:05:04 | 000,086,672 | ---- | M] (Microsoft Corporation) MD5=8C718AA8C77041B3285D55A0CE980867 -- C:\WINNT\system32\drivers\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2005/06/03 03:44:44 | 000,049,424 | ---- | M] (Microsoft Corporation) MD5=ABA7CF4DEA4975E37692DFA1DBCE1B79 -- C:\WINNT\system32\dllcache\EVENTLOG.DLL
[2005/06/03 03:44:44 | 000,049,424 | ---- | M] (Microsoft Corporation) MD5=ABA7CF4DEA4975E37692DFA1DBCE1B79 -- C:\WINNT\system32\EVENTLOG.DLL
[2003/06/19 15:05:04 | 000,047,888 | ---- | M] (Microsoft Corporation) MD5=F5DB4550941A365A49C400BC3C0090DE -- C:\WINNT\$NtUpdateRollupPackUninstall$\eventlog.dll
[2003/06/19 15:05:04 | 000,047,888 | ---- | M] (Microsoft Corporation) MD5=F5DB4550941A365A49C400BC3C0090DE -- C:\WINNT\ServicePackFiles\i386\eventlog.dll
 
< MD5 for: EXPLORER.EXE  >
[2003/06/19 15:05:04 | 000,245,008 | ---- | M] (Microsoft Corporation) MD5=9A067872F0A9DC15E93DBEFC9E1453A7 -- C:\WINNT\explorer.exe
[2003/06/19 15:05:04 | 000,245,008 | ---- | M] (Microsoft Corporation) MD5=9A067872F0A9DC15E93DBEFC9E1453A7 -- C:\WINNT\ServicePackFiles\i386\explorer.exe
 
< MD5 for: NETLOGON.DLL  >
[2005/06/02 15:14:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\$NtUninstallKB954600_WM41$\netlogon.dll
[2005/06/03 03:44:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\$NtUninstallKB957097$\netlogon.dll
[2005/06/02 06:14:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\$NtUninstallKB960803$\netlogon.dll
[2005/06/02 15:14:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\$NtUninstallKB960859$\netlogon.dll
[2005/06/03 03:44:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\system32\dllcache\NETLOGON.DLL
[2005/06/02 15:14:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\system32\NETLOGON.DLL
[2003/06/19 15:05:04 | 000,371,984 | ---- | M] (Microsoft Corporation) MD5=AFFDAF795FF9B3A8AAA5A36E95FB11E6 -- C:\WINNT\$NtUpdateRollupPackUninstall$\netlogon.dll
[2003/06/19 15:05:04 | 000,371,984 | ---- | M] (Microsoft Corporation) MD5=AFFDAF795FF9B3A8AAA5A36E95FB11E6 -- C:\WINNT\ServicePackFiles\i386\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2003/06/19 15:05:04 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F596F47F60D63D79BD91E91919988481 -- C:\WINNT\$NtUpdateRollupPackUninstall$\scecli.dll
[2003/06/19 15:05:04 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F596F47F60D63D79BD91E91919988481 -- C:\WINNT\ServicePackFiles\i386\scecli.dll
[2005/06/03 03:44:44 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F7B05B1A74D0F1C23D4D14C77F50A819 -- C:\WINNT\system32\dllcache\scecli.dll
[2005/06/03 03:44:44 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F7B05B1A74D0F1C23D4D14C77F50A819 -- C:\WINNT\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2007/03/06 07:17:36 | 000,381,712 | ---- | M] (Microsoft Corporation) MD5=3AE4FAC4D8FC34F75D7CFFB20CF1EC55 -- C:\WINNT\system32\dllcache\USER32.DLL
[2007/03/06 07:17:36 | 000,381,712 | ---- | M] (Microsoft Corporation) MD5=3AE4FAC4D8FC34F75D7CFFB20CF1EC55 -- C:\WINNT\system32\USER32.DLL
[2003/06/19 15:05:04 | 000,403,728 | ---- | M] (Microsoft Corporation) MD5=DC81AC1067AD32F39D3B673CA8345C46 -- C:\WINNT\$NtUninstallKB925902$\user32.dll
[2003/06/19 15:05:04 | 000,403,728 | ---- | M] (Microsoft Corporation) MD5=DC81AC1067AD32F39D3B673CA8345C46 -- C:\WINNT\ServicePackFiles\i386\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2003/06/19 15:05:04 | 000,017,680 | ---- | M] (Microsoft Corporation) MD5=11A1AA9DF8C44386F72018D06F2E0E71 -- C:\WINNT\ServicePackFiles\i386\userinit.exe
[2003/06/19 15:05:04 | 000,017,680 | ---- | M] (Microsoft Corporation) MD5=11A1AA9DF8C44386F72018D06F2E0E71 -- C:\WINNT\system32\USERINIT.EXE
 
< MD5 for: WINLOGON.EXE  >
[2003/06/19 15:05:04 | 000,184,592 | ---- | M] (Microsoft Corporation) MD5=3EF30E020F67292F5698C8EAFDBB27EC -- C:\WINNT\$NtUpdateRollupPackUninstall$\winlogon.exe
[2003/06/19 15:05:04 | 000,184,592 | ---- | M] (Microsoft Corporation) MD5=3EF30E020F67292F5698C8EAFDBB27EC -- C:\WINNT\ServicePackFiles\i386\winlogon.exe
[2005/06/03 02:37:50 | 000,190,224 | ---- | M] (Microsoft Corporation) MD5=56E6FE4DED78FFD01679D467746A16F3 -- C:\WINNT\system32\dllcache\WINLOGON.EXE
[2005/06/03 02:37:50 | 000,190,224 | ---- | M] (Microsoft Corporation) MD5=56E6FE4DED78FFD01679D467746A16F3 -- C:\WINNT\system32\WINLOGON.EXE
 
< MD5 for: WS2IFSL.SYS  >
[2001/05/08 07:00:00 | 000,012,016 | ---- | M] (Microsoft Corporation) MD5=C8A15978B9C09023A3E096CB9B6689C5 -- C:\WINNT\system32\dllcache\ws2ifsl.sys
[2001/05/08 07:00:00 | 000,012,016 | ---- | M] (Microsoft Corporation) MD5=C8A15978B9C09023A3E096CB9B6689C5 -- C:\WINNT\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2010/02/09 15:38:57 | 000,081,920 | ---- | M] () -- C:\WINNT\System32\config\default.sav
[2010/02/09 15:38:57 | 000,544,768 | ---- | M] () -- C:\WINNT\System32\config\software.sav
[2010/02/09 15:38:57 | 000,360,448 | ---- | M] () -- C:\WINNT\System32\config\system.sav
 
< %systemroot%\system32\*.dll /lockedfiles >
[2005/06/03 03:44:54 | 000,222,480 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINNT\system32\mstask.dll
[2008/04/15 19:13:18 | 002,387,216 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINNT\system32\SHELL32.DLL
[1 C:\WINNT\system32\*.tmp files -> C:\WINNT\system32\*.tmp -> ]
 
Invalid Environment Variable: %USERPROFILE%\*.*
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.dll
 
Invalid Environment Variable: %USERPROFILE%\Application Data\*.exe
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 7268 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1957.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 7180 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1952.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6828 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1953.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6632 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1959.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6620 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1956.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6408 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1958.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 5760 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1954.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 5380 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1955.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 4480 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1304.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 4388 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1303.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 4208 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1302.jpg:Q30lsldxJoudresxAaaqpcawXc
< End of report >


cosinus 25.03.2012 17:38

Funktioniert noch der abgesicherte Modus mit Netzwerktreibern? Mit Internetverbindung?



Abgesicherter Modus zur Bereinigung
  • Windows mit F8-Taste beim Start in den abgesicherten Modus bringen.
  • Starte den Rechner in den abgesicherten Modus mit Netzwerktreibern:

    Windows im abgesicherten Modusstarten

bloeci 25.03.2012 19:21

Im abgesicherten Modus habe ich den gleichen Effekt. Ein weißer Bildschirm mit dem Schriftzug "Please wait while connection....." und eben in Deutsch "Bitte warten während die Verbindung hergestellt wird".... :(

cosinus 26.03.2012 12:37

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)


Code:

:OTL
O4 - HKU\Förster_ON_C..\Run: [VX2bt1oYNKCLnkO] C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe (Cutting Edge Software Inc.)
O4 - HKLM..\RunOnceEx: []  File not found
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\Förster_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 149
O7 - HKU\Förster_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Förster_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Förster_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe (Cutting Edge Software Inc.)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe (Cutting Edge Software Inc.)
O20 - HKU\Förster_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe (Cutting Edge Software Inc.)
O20 - HKU\Förster_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe) - C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe (Cutting Edge Software Inc.)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/02/09 16:00:52 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
@Alternate Data Stream - 7268 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1957.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 7180 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1952.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6828 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1953.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6632 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1959.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6620 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1956.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6408 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1958.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 5760 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1954.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 5380 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1955.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 4480 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1304.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 4388 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1303.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 4208 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1302.jpg:Q30lsldxJoudresxAaaqpcawXc
:Files
C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\.#
:Commands
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

bloeci 26.03.2012 21:30

Guten Abend, habe das Fix eingespielt. Hier das Log:

Code:

========== OTL ==========
Registry value HKEY_USERS\Förster_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\VX2bt1oYNKCLnkO deleted successfully.
C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\\ deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\Förster_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_USERS\Förster_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop deleted successfully.
Registry value HKEY_USERS\Förster_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_USERS\Förster_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe deleted successfully.
File C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe deleted successfully.
File C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe not found.
Registry value HKEY_USERS\Förster_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe deleted successfully.
File C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe not found.
Registry value HKEY_USERS\Förster_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe deleted successfully.
File C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe not found.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
ADS C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1957.jpg:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1952.jpg:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1953.jpg:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1959.jpg:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1956.jpg:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1958.jpg:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1954.jpg:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1955.jpg:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1304.jpg:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1303.jpg:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
ADS C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1302.jpg:Q30lsldxJoudresxAaaqpcawXc deleted successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe not found.
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\.# folder moved successfully.
========== COMMANDS ==========
C:\WINNT\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 03272012_023530


Jetzt habe ich jedoch folgendes Problem. Ich kann mich nicht mehr anmelden. Es kommt ganz kurz ein Fenster "Benutzereinstellungen werden geladen", danach "Einstellungen werden gespeichert" und dann bekomm ich wieder die Anmeldemaske :(

Danke schonmal für Deine Mühe !

cosinus 27.03.2012 10:26

Ja das hatte ich schon fast befürchtet, der Schädling hat dir deine userinit.exe gelöscht

Willst du wirklich noch weitermachen für diesen alten Windows2000-Rechner?
Für Windows 2000 gibt es seit zwei Jahren keine Updates mehr! Der Umstieg auf ein neues OS sollte also dringend mal in Angriff genommen werden

bloeci 27.03.2012 20:11

Ist nicht meiner.. kümmere mich nur ehrenamtlich darum. Leider ist das Geld, dort wo der Rechner herkommt, recht knapp. Daher möchte ich versuchen ohne Unkosten das Teil wieder nutzbar zu machen. Selbst wenn die Hardware XP/Win7 fähig wäre (was ich nicht glaube), hätte ich immer noch keine Lizenz. Leider kenne ich mich mit Linux rein gar nicht aus...

Solange der Aufwand sich also nicht ins unermäßliche steigert, würde ich gerne daran festhalten. Weiß ja nicht, wie ich dieses Problem beheben könnte.

Ich habe aber auch eine weitere Frage. Angenommen ich sichere die Daten des Rechners anhand der OTLPE-CD, kann ich dadurch einen weiteren Rechner infizieren?

cosinus 27.03.2012 20:23

Du könntest mit der OTLPE-CD versuchen, die userinit.exe wieder dorthin zu kopieren wo sie hingehört.

Zitat:

Angenommen ich sichere die Daten des Rechners anhand der OTLPE-CD, kann ich dadurch einen weiteren Rechner infizieren?
Wieso einen weiteren Rechner? :balla:
Es spielt sich doch alle via Live-System (OTLPE) auf diesen Nicht mehr bootenden Windows2000 PC ab, ich kann diese Frage nicht ganz nachvollziehen vllt weiß ich auch nicht was du da genau machen willst

bloeci 27.03.2012 20:46

Falls der Aufwand unverhältnismäßig wird, möchte ich die Daten auf dem PC sichern. Die Frage ist, ob ich mit dem USB-Stick auf dem ich die Sachen speichern würde, einen weiteren Rechner infizieren könnte, auf dem ich die Daten dann zurück spielen wollen würde.

Die userinit.exe finde ich dann wo genau? In dieser Sicherheitskopie, welche angelegt wurde?

Vielen Dank für Deine Unterstützung ;)

cosinus 27.03.2012 21:17

Zitat:

O20 - HKU\Förster_ON_C Winlogon: UserInit - (C:\WINDOWS\System32\userinit.exe) - File not found
Hmpf :balla: ich seh jetzt erst, dass der Pfad da falsch angegeben ist :stirn:
Der Windows-Ordner heißt bei Windows2000 nicht WINDOWS sondern WINNT

Falls du eine userinit.exe in C:\WINNT\system32 siehst, kopier diese mal nach C:\WINDOWS\system32 - Verzeichnisse musst du erstellen, also WINDOWS auf C: und system32 in WINDOWS - ist zwar erstmal nur ein Workaorund, aber ich will wissen, ob Windows2000 dann wieder startet und man sich anmelden kann

Lt. OTL-Log hast du die Userinit.exe aber noch:

Zitat:

< MD5 for: USERINIT.EXE >
[2003/06/19 15:05:04 | 000,017,680 | ---- | M] (Microsoft Corporation) MD5=11A1AA9DF8C44386F72018D06F2E0E71 -- C:\WINNT\ServicePackFiles\i386\userinit.exe
[2003/06/19 15:05:04 | 000,017,680 | ---- | M] (Microsoft Corporation) MD5=11A1AA9DF8C44386F72018D06F2E0E71 -- C:\WINNT\system32\USERINIT.EXE

bloeci 28.03.2012 20:16

Ja... Windows 2000 ist schon lange her, hm? ;) Habe den Pfad angelegt und die Datei kopiert, anschließend neu gestartet und siehe da, funktioniert...

Ich habe nun die ZIP-Datei erstellt und hochgeladen. Kann man anhand dieser sagen, ob der PC nun sauber ist?

Vielen Dank!!!!!!!!!

cosinus 29.03.2012 10:51

Sehr schön. Aber fertig sind wir noch lange nicht, jetzt gehts erst richtig los.
1.) Man sollte in der Registry den Pfad vllt mal wieder auf die richtige userinit.exe umbiegen.
2.) Routinescans mit Malwarebytes und ESET
3.) weitere Analysen mit weiteren Tools

Machen wir erstmal Punkt 2.), Punkt 1 ist nicht so wichtig das es ja wieder läuft


Bitte erstmal routinemäßig einen Vollscan mit malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

  • Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
  • Lade und starte Eset Online Scanner
  • Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
  • Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
  • Klicke auf Starten.
  • Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
  • Klicke am Ende des Suchlaufs auf Fertig stellen.
  • Schließe das Fenster von ESET.
  • Explorer öffnen.
  • C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
  • Logfile hier posten.
  • Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
  • Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset





Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

bloeci 30.03.2012 17:56

Hallo, hier das Log von Malwarebytes, das von Eset folgt auch noch ;)

Code:

Malwarebytes Anti-Malware (Test) 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.30.05

Windows 2000 Service Pack 4 x86 NTFS
Internet Explorer 6.0.2800.1106
Förster :: FOERSTERPC [Administrator]

Schutz: Aktiviert

30.03.2012 22:17:42
mbam-log-2012-03-30 (22-17-42).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 178406
Laufzeit: 30 Minute(n), 21 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{5ueDxYLo-I543-1otK-kGTs-C9Y55G4HYphK} (Backdoor.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 2
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell.Gen) -> Daten: c:\dokumente und einstellungen\förster\application data\h6s5ruij653.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|VX2bt1oYNKCLnkO (Backdoor.Agent) -> Daten: C:\Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\52\76749eb4-710bf64c (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\0.7949690564598216g8j8.exe (Spyware.Passwords) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\03272012_023530\C_Dokumente und Einstellungen\Förster\Application Data\h6s5ruij653.exe (Spyware.Passwords) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

So, hier nun auch der Log von ESET... Danke, wüsste nichts, was ich ohne Euch machen würde!

Code:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=6.00.2800.1106
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=dc4ee7a7a333e3459b4e674942b2df1d
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-31 01:38:38
# local_time=2012-03-31 03:38:38 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.0.2195 NT Service Pack 4
# scanned=32440
# found=32
# cleaned=0
# scan_time=4542
C:\_OTL.zip        Win32/LockScreen.AKG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\1\252699c1-115c2eb3        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\15\7a43fc8f-55b360bb        a variant of Java/TrojanDownloader.OpenStream.NCC trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\27\5b0c76db-475ff5ed        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\36\4cd19764-1cef477e        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\42\45a0102a-4411ad1b-temp        a variant of Java/TrojanDownloader.OpenConnection.MU trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\53\790c4735-39fa82b9        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\60\67db70bc-3cb18faf        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\62\2bc3143e-43319047        a variant of Java/TrojanDownloader.OpenStream.NCM trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\7\76d6e347-288cfe99        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\8\1b57bbc8-3b2ae98d        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Application Data\Sun\Java\Deployment\cache\6.0\54\584333f6-79ba2641        a variant of Java/Exploit.CVE-2011-3544.BA trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\E.class        a variant of Java/Exploit.CVE-2011-3544.BA trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\jar_cache1200339381077047928.tmp        probably a variant of Win32/Agent.LMMBFXF trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\jar_cache4953722813066890413.tmp        a variant of Java/Exploit.Agent.NAC trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\jar_cache5316989084193688484.tmp        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\jar_cache5640768976088184498.tmp        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\jar_cache6803877626382041475.tmp        multiple threats (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\jar_cache8388101932980571269.tmp        a variant of OSX/Exploit.Smid.D trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\plugtmp-107\plugin-fantasticpasstheback.pdf        PDF/Exploit.Gen trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\plugtmp-108\plugin-comeoffitase.pdf        PDF/Exploit.Gen trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\plugtmp-114\plugin-nutcarryaway.pdf        PDF/Exploit.Gen trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\plugtmp-115\plugin-        JS/Exploit.Pdfka.OPO trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\plugtmp-131\plugin-bosspackoflies.pdf        JS/Exploit.Pdfka.OSG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\plugtmp-144\plugin-bastardpenis.pdf        JS/Exploit.Pdfka.OEM trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\plugtmp-154\plugin-babbledumptheresponsibility.pdf        JS/Exploit.Pdfka.ONU trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\plugtmp-166\plugin-earnoneswingsparty.pdf        JS/Exploit.Pdfka.ONU trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\plugtmp-169\plugin-timesplyunutcool.pdf        JS/Exploit.Pdfka.ONU trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\plugtmp-202\plugin-bossjig.pdf        JS/Exploit.Pdfka.OSG trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\plugtmp-258\plugin-headlike.pdf        JS/Exploit.Pdfka.OVN trojan (unable to clean)        00000000000000000000000000000000        I
C:\Dokumente und Einstellungen\Förster\Lokale Einstellungen\Temp\plugtmp-27\plugin-ChangeLog.pdf        JS/Exploit.Pdfka.BXY trojan (unable to clean)        00000000000000000000000000000000        I
C:\RECYCLER\S-1-5-21-2025429265-362288127-725345543-1000\Dc1.zip        Win32/LockScreen.AKG trojan (unable to clean)        00000000000000000000000000000000        I


bloeci 04.04.2012 20:28

Hallo, ich möchte ja nicht nerven, aber ich vermute, dass der Rechner noch nicht virenfrei ist. Wie muss ich denn jetzt weiter machen?

Viele Grüße und lieben Dank!

cosinus 04.04.2012 22:49

Sry hab bei dem Ansturm hier deinen Strang übersehen :headbang:
Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

bloeci 06.04.2012 15:24

Das macht ja nichts, ist ja kaum verwunderlich....

Auf den ersten Blick ist alles vorhanden. Da es nicht mein Rechner ist, ist das etwas schwer zu beurteilen. Aber es gibt keine leeren Ordner oder ähnliches und die Dokumente sind auch noch da. Starten tut er ohne Probleme.

cosinus 06.04.2012 15:38

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log
CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT


bloeci 06.04.2012 17:10

Hallo,danke für die schnelle Reaktion. Hier der Inhalt der OTL.txt. OTL hat mir ausserdem noch eine extras.txt ausgespuckt, wird die auch benötigt?

Code:

OTL logfile created on: 06.04.2012 23:10:46 - Run 1
OTL by OldTimer - Version 3.2.39.2    Folder = F:\
Windows 2000 Professional Edition Service Pack 4 (Version = 5.0.2195) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2800.1106)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
502,98 Mb Total Physical Memory | 269,24 Mb Available Physical Memory | 53,53% Memory free
1,20 Gb Paging File | 0,86 Gb Available in Paging File | 71,67% Paging File free
Paging file location(s): C:\pagefile.sys 756 1512 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINNT | %ProgramFiles% = C:\Programme
Drive C: | 18,64 Gb Total Space | 9,12 Gb Free Space | 48,92% Space Free | Partition Type: NTFS
Drive E: | 37,27 Gb Total Space | 34,50 Gb Free Space | 92,57% Space Free | Partition Type: NTFS
Drive F: | 7,45 Gb Total Space | 2,64 Gb Free Space | 35,48% Space Free | Partition Type: FAT32
 
Computer Name: FOERSTERPC | User Name: Förster | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.04.06 17:54:00 | 000,593,920 | ---- | M] (OldTimer Tools) -- F:\OTL.exe
PRC - [2012.01.13 14:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2011.04.22 14:21:10 | 000,092,592 | ---- | M] (TomTom) -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
PRC - [2010.02.18 11:43:18 | 000,248,040 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.10.02 02:00:00 | 000,199,680 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\WINNT\system32\spool\drivers\w32x86\3\E_FATIFCE.EXE
PRC - [2006.06.02 05:29:26 | 000,180,224 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
PRC - [2005.06.03 08:37:10 | 000,123,152 | ---- | M] (Microsoft Corporation) -- C:\WINNT\system32\mstask.exe
PRC - [2003.06.19 21:05:04 | 000,245,008 | ---- | M] (Microsoft Corporation) -- C:\WINNT\explorer.exe
PRC - [2003.06.19 21:05:04 | 000,196,706 | ---- | M] (Microsoft Corporation) -- C:\WINNT\system32\wbem\WinMgmt.exe
PRC - [2003.06.19 21:05:04 | 000,068,368 | ---- | M] (Microsoft Corporation) -- C:\WINNT\system32\regsvc.exe
PRC - [2003.06.19 21:05:04 | 000,062,224 | ---- | M] (Microsoft Corporation) -- C:\WINNT\system32\stisvc.exe
PRC - [2001.05.08 13:00:00 | 000,020,752 | ---- | M] (Microsoft Corporation) -- C:\WINNT\system32\internat.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2010.03.06 23:15:57 | 000,135,168 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\VPrintOnlineHelper40.dll
MOD - [2010.03.06 23:15:56 | 000,688,128 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\VPrintOnline.dll
MOD - [2010.03.06 23:15:55 | 000,671,744 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\SkinuxXML2.dll
MOD - [2010.03.06 23:15:55 | 000,389,120 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\SkinuxProc.dll
MOD - [2010.03.06 23:15:55 | 000,215,552 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\SpiffyExt.dll
MOD - [2010.03.06 23:15:54 | 001,642,496 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\SkinuxCmp.dll
MOD - [2010.03.06 23:15:54 | 000,909,312 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\SkinuxCommon.dll
MOD - [2010.03.06 23:15:54 | 000,634,880 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\SkinuxBase.dll
MOD - [2010.03.06 23:15:54 | 000,491,520 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\SkinuxIm.dll
MOD - [2010.03.06 23:15:54 | 000,323,584 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\SkinuxFF.dll
MOD - [2010.03.06 23:15:51 | 000,688,128 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\LocVistaControls.dll
MOD - [2010.03.06 23:15:51 | 000,094,208 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\LocVistaPrintOnLine.dll
MOD - [2010.03.06 23:15:50 | 000,163,840 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\LocESEmail.dll
MOD - [2010.03.06 23:15:50 | 000,151,552 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\LocVistaCDBackup.dll
MOD - [2010.03.06 23:15:50 | 000,008,704 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\LocVistaAdapter.dll
MOD - [2010.03.06 23:15:50 | 000,007,680 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\locPcd.dll
MOD - [2010.03.06 23:15:49 | 000,090,112 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\LocAcqMod.dll
MOD - [2010.03.06 23:15:49 | 000,057,344 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\LocCamBack.dll
MOD - [2010.03.06 23:15:48 | 000,266,240 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\KFx.dll
MOD - [2010.03.06 23:15:48 | 000,112,128 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\kpries40.dll
MOD - [2010.03.06 23:15:48 | 000,076,288 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\keml40.dll
MOD - [2010.03.06 23:15:48 | 000,046,592 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\KPCDInterface.dll
MOD - [2010.03.06 23:15:47 | 001,564,672 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\areaifdll.dll
MOD - [2010.03.06 23:15:47 | 000,397,312 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\ESCom.dll
MOD - [2010.03.06 23:15:47 | 000,305,664 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\Atlas.dll
MOD - [2010.03.06 23:15:47 | 000,270,336 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\VistaPrintOnline.esx
MOD - [2010.03.06 23:15:47 | 000,218,624 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\AppCore.dll
MOD - [2010.03.06 23:15:47 | 000,206,336 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\VistaControls.esx
MOD - [2010.03.06 23:15:47 | 000,059,392 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\DibLibIP.dll
MOD - [2010.03.06 23:15:46 | 000,848,384 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\ESSkin.esx
MOD - [2010.03.06 23:15:46 | 000,688,128 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\ESEmail.esx
MOD - [2010.03.06 23:15:46 | 000,331,776 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\VistaAdapter.esx
MOD - [2010.03.06 23:15:46 | 000,168,448 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\Pcd.esx
MOD - [2010.03.06 23:15:46 | 000,104,448 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\IStorageMediaStore.esx
MOD - [2010.03.06 23:15:46 | 000,093,184 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\VistaCDBackup.esx
MOD - [2010.03.06 23:15:45 | 000,076,288 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\DXRawFormatHandler.esx
MOD - [2009.01.28 16:03:49 | 000,326,401 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2006.06.02 05:29:26 | 000,180,224 | ---- | M] () -- C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2012.01.13 14:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011.04.22 14:21:10 | 000,092,592 | ---- | M] (TomTom) [Auto | Running] -- C:\Programme\TomTom HOME 2\TomTomHOMEService.exe -- (TomTomHOMEService)
SRV - [2010.01.25 11:02:20 | 000,067,360 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper.dll -- (getPlusHelper) getPlus(R)
SRV - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2005.06.03 08:37:10 | 000,123,152 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINNT\system32\mstask.exe -- (Schedule)
SRV - [2005.04.04 01:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2005.03.30 17:46:56 | 000,411,920 | ---- | M] (Eastman Kodak Company) [On_Demand | Stopped] -- C:\WINNT\system32\drivers\KodakCCS.exe -- (KodakCCS)
SRV - [2003.06.19 21:05:04 | 000,196,706 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINNT\system32\wbem\WinMgmt.exe -- (WinMgmt)
SRV - [2003.06.19 21:05:04 | 000,147,728 | ---- | M] (VERITAS Software Corp.) [On_Demand | Stopped] -- C:\WINNT\System32\dmadmin.exe -- (dmadmin)
SRV - [2003.06.19 21:05:04 | 000,096,016 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINNT\system32\FAXSVC.EXE -- (Fax)
SRV - [2003.06.19 21:05:04 | 000,068,368 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINNT\system32\regsvc.exe -- (RemoteRegistry)
SRV - [2003.06.19 21:05:04 | 000,062,224 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\WINNT\system32\stisvc.exe -- (StiSvc)
SRV - [2003.06.19 21:05:04 | 000,022,800 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\WINNT\system32\utilman.exe -- (UtilMan)
SRV - [2001.05.08 13:00:00 | 000,050,688 | ---- | M] () [Unavailable | Unknown] -- C:\WINNT\System32\ias.msc -- (IAS)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | System | Stopped] --  -- (tga)
DRV - File not found [Kernel | System | Stopped] --  -- (sglfb)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2011.12.10 15:24:04 | 000,018,800 | ---- | M] (Malwarebytes Corporation) [Kernel | On_Demand | Running] -- C:\WINNT\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINNT\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 10:32:15 | 000,097,512 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINNT\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.03.24 16:07:19 | 000,065,240 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINNT\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2006.01.12 01:00:00 | 000,152,336 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINNT\system32\drivers\e100bnt5.sys -- (E100B) Intel(R)
DRV - [2005.06.16 15:41:02 | 000,037,150 | ---- | M] (Eastman Kodak Company) [Kernel | System | Running] -- C:\WINNT\system32\drivers\DcCam.sys -- (DcCam)
DRV - [2005.03.31 09:00:08 | 000,152,081 | ---- | M] (Eastman Kodak Company) [Kernel | System | Stopped] -- C:\WINNT\system32\drivers\ExportIt.sys -- (Exportit)
DRV - [2005.03.31 08:47:56 | 000,070,262 | ---- | M] (Eastman Kodak Company) [Kernel | On_Demand | Stopped] -- C:\WINNT\system32\drivers\DcPtp.sys -- (DcPTP)
DRV - [2005.03.31 08:47:50 | 000,008,022 | ---- | M] (Eastman Kodak Company) [Kernel | On_Demand | Stopped] -- C:\WINNT\system32\drivers\DcLps.sys -- (DcLps)
DRV - [2005.03.31 08:47:48 | 000,038,673 | ---- | M] (Eastman Kodak Company) [Kernel | Auto | Running] -- C:\WINNT\system32\drivers\DCFS2k.sys -- (DCFS2K)
DRV - [2005.03.31 08:47:42 | 000,061,564 | ---- | M] (Eastman Kodak Company) [Kernel | On_Demand | Stopped] -- C:\WINNT\system32\drivers\DcFpoint.sys -- (DcFpoint)
DRV - [2003.06.19 21:05:04 | 000,369,104 | ---- | M] (VERITAS Software Corp.) [Kernel | Disabled | Stopped] -- C:\WINNT\system32\drivers\dmboot.sys -- (dmboot)
DRV - [2003.06.19 21:05:04 | 000,137,936 | ---- | M] (VERITAS Software Corp.) [Kernel | Boot | Running] -- C:\WINNT\system32\drivers\dmio.sys -- (dmio)
DRV - [2003.06.19 21:05:04 | 000,060,368 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINNT\system32\drivers\parallel.sys -- (Parallel)
DRV - [2003.06.19 21:05:04 | 000,049,776 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINNT\system32\drivers\usbhub20.sys -- (usbhub20)
DRV - [2003.06.19 21:05:04 | 000,032,848 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINNT\system32\drivers\uhcd.sys -- (uhcd)
DRV - [2003.06.19 21:05:04 | 000,027,440 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Running] -- C:\WINNT\System32\drivers\efs.sys -- (EFS)
DRV - [2003.06.19 21:05:04 | 000,007,728 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\WINNT\System32\drivers\diskperf.sys -- (Diskperf)
DRV - [2003.06.19 21:05:04 | 000,007,312 | ---- | M] (VERITAS Software Corp.) [Kernel | Boot | Running] -- C:\WINNT\system32\drivers\dmload.sys -- (dmload)
DRV - [2001.05.08 13:00:00 | 000,021,712 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINNT\system32\drivers\rca.sys -- (RCA) Microsoft Streaming Network-RCA (Raw Channel Access)
DRV - [2001.05.08 13:00:00 | 000,009,680 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINNT\system32\drivers\netdtect.sys -- (NetDetect)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-2025429265-362288127-725345543-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINNT\system32\blank.htm
IE - HKU\S-1-5-21-2025429265-362288127-725345543-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-2025429265-362288127-725345543-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..network.proxy.no_proxies_on: "*.local"
FF - prefs.js..network.proxy.type: 0
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINNT\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.27\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.02.20 15:41:09 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 3.6.27\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.02.20 10:39:19 | 000,000,000 | ---D | M]
 
[2011.07.18 16:49:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Förster\Application Data\Mozilla\Extensions
[2011.07.18 16:49:30 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Förster\Application Data\Mozilla\Extensions\home2@tomtom.com
[2011.07.06 20:57:36 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Förster\Application Data\Mozilla\Firefox\Profiles\b299w0al.default\extensions
[2012.03.04 19:46:29 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.08.21 17:24:26 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
[2011.07.06 20:56:12 | 000,000,000 | ---D | M] (Java Console) -- C:\Programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}
[2010.08.21 17:24:02 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2011.05.04 04:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2010.12.11 13:03:47 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2010.12.11 13:03:48 | 000,002,344 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2010.12.11 13:03:48 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2010.12.11 13:03:49 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2010.12.11 13:03:49 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012.03.27 08:35:32 | 000,000,098 | ---- | M]) - C:\WINNT\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKLM\..\Toolbar: (&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKU\S-1-5-21-2025429265-362288127-725345543-1000\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\epson\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\.DEFAULT..\Run: [internat.exe] C:\WINNT\System32\internat.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-2025429265-362288127-725345543-1000..\Run: [EPSON SX410 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_FATIFCE.EXE (SEIKO EPSON CORPORATION)
O4 - HKU\S-1-5-21-2025429265-362288127-725345543-1000..\Run: [internat.exe] C:\WINNT\System32\internat.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-2025429265-362288127-725345543-1000..\Run: [TomTomHOME.exe] C:\Programme\TomTom HOME 2\TomTomHOMERunner.exe (TomTom)
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Förster\Startmenü\Programme\Autostart\OpenOffice.org 3.2.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O9 - Extra Button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll (Apple Computer, Inc.)
O9 - Extra Button: @shdoclc.dll,-866 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\Web\RELATED.HTM ()
O9 - Extra 'Tools' menuitem : @shdoclc.dll,-864 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\Web\RELATED.HTM ()
O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\WINNT\system32\RNR20.DLL (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000003 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Computer, Inc.)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1265804275531 (WUWebControl Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?40219.2404513889 (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: DirectAnimation Java Classes file://C:\WINNT\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINNT\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F7E223F6-34AE-4A81-A7CA-CFE5F623C8DC}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINNT\system32\msdxm.ocx (Microsoft Corporation)
O18 - Protocol\Filter\Class Install Handler - No CLSID value found
O18 - Protocol\Filter\deflate - No CLSID value found
O18 - Protocol\Filter\gzip - No CLSID value found
O18 - Protocol\Filter\lzdhtml - No CLSID value found
O18 - Protocol\Filter\text/webviewhtml - No CLSID value found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINNT\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (c:\windows\system32\userinit.exe) - c:\Windows\System32\USERINIT.EXE (Microsoft Corporation)
O20 - HKU\S-1-5-21-2025429265-362288127-725345543-1000 Winlogon: UserInit - (c:\windows\system32\userinit.exe) - c:\Windows\System32\USERINIT.EXE (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - (igfxsrvc.dll) - C:\WINNT\System32\igfxsrvc.dll (Intel Corporation)
O20 - Winlogon\Notify\wzcnotif: DllName - (wzcdlg.dll) - C:\WINNT\System32\wzcdlg.dll (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: E:\Bilder\2008-06-07\100_0261.JPG
O24 - Desktop BackupWallPaper:
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: Ias - C:\WINNT\System32\ias.msc ()
NetSvcs: Iprip -  File not found
NetSvcs: Nwsapagent -  File not found
 
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: dmadmin - C:\WINNT\System32\dmadmin.exe (VERITAS Software Corp.)
SafeBootMin: dmboot.sys - C:\WINNT\system32\drivers\dmboot.sys (VERITAS Software Corp.)
SafeBootMin: dmio.sys - C:\WINNT\system32\drivers\dmio.sys (VERITAS Software Corp.)
SafeBootMin: dmload.sys - C:\WINNT\system32\drivers\dmload.sys (VERITAS Software Corp.)
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: sglfb.sys -  File not found
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: tga.sys -  File not found
SafeBootMin: vga.sys - Driver
SafeBootMin: WinMgmt - C:\WINNT\system32\wbem\WinMgmt.exe (Microsoft Corporation)
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: dmadmin - C:\WINNT\System32\dmadmin.exe (VERITAS Software Corp.)
SafeBootNet: dmboot.sys - C:\WINNT\system32\drivers\dmboot.sys (VERITAS Software Corp.)
SafeBootNet: dmio.sys - C:\WINNT\system32\drivers\dmio.sys (VERITAS Software Corp.)
SafeBootNet: dmload.sys - C:\WINNT\system32\drivers\dmload.sys (VERITAS Software Corp.)
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NBF - Service
SafeBootNet: nbf.sys - Driver
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: sglfb.sys -  File not found
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: tga.sys -  File not found
SafeBootNet: vga.sys - Driver
SafeBootNet: WinMgmt - C:\WINNT\system32\wbem\WinMgmt.exe (Microsoft Corporation)
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Microsoft VM
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608555} - Internet Explorer-Klassen für Java
ActiveX: {0fde1f56-0d59-4fd7-9624-e3df6b419d0e} - Internet Explorer ReadMe
ActiveX: {0fde1f56-0d59-4fd7-9624-e3df6b419d0f} - IEEX
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - VML (Vector Graphics Rendering)
ActiveX: {1b0357b8-e3fb-4918-915c-a8eb232c273e} - KB973354
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing-Paket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {4fbff6eb-7540-4f56-a35e-50ff06f9d941} - KB978207
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5f3c70b3-ac2f-432c-8f9c-1624df61f54f} - Microsoft Data Access Components KB870669
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {685e3910-1f77-49b9-9434-50bcd95c51ab} - KB905495
ActiveX: {6A5110B5-E14B-4268-A065-EF89FF33C325} - regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {86f63941-db5d-4de3-818f-f81f90afb602} - KB978542
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\System32\ie4uinit.exe
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} - %SystemRoot%\System32\updcrl.exe -e -u %SystemRoot%\System32\verisignpub1.crl
ActiveX: {A00BF2EB-56EE-4fde-B5EA-6A8FA425B2A5} - W2KAppComp
ActiveX: {b6609c7e-4ad5-4b8b-9da5-9edbc50f7592} - KB958869
ActiveX: {bfb9c191-4d2f-49bd-aa21-4308475e1cc7} - KB980182
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {f51becec-f7b3-4401-a2f3-88387ad7722b} - KB982381
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Windows Media Player
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - "C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - "C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigOE
 
Drivers32: aux - C:\WINNT\System32\mmdrv.dll (Microsoft Corporation)
Drivers32: aux1 -  File not found
Drivers32: aux2 -  File not found
Drivers32: aux3 -  File not found
Drivers32: aux4 -  File not found
Drivers32: aux5 -  File not found
Drivers32: aux6 -  File not found
Drivers32: aux7 -  File not found
Drivers32: aux8 -  File not found
Drivers32: aux9 -  File not found
Drivers32: midi1 -  File not found
Drivers32: midi2 -  File not found
Drivers32: midi3 -  File not found
Drivers32: midi4 -  File not found
Drivers32: midi5 -  File not found
Drivers32: midi6 -  File not found
Drivers32: midi7 -  File not found
Drivers32: midi8 -  File not found
Drivers32: midi9 -  File not found
Drivers32: mixer1 -  File not found
Drivers32: mixer2 -  File not found
Drivers32: mixer3 -  File not found
Drivers32: mixer4 -  File not found
Drivers32: mixer5 -  File not found
Drivers32: mixer6 -  File not found
Drivers32: mixer7 -  File not found
Drivers32: mixer8 -  File not found
Drivers32: mixer9 -  File not found
Drivers32: msacm.iac2 - C:\WINNT\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.lhacm - C:\WINNT\System32\lhacm.acm (Microsoft Corporation)
Drivers32: msacm.trspch - C:\WINNT\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINNT\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINNT\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINNT\System32\ir32_32.dll ()
Drivers32: vidc.iv50 - C:\WINNT\System32\ir50_32.dll (Intel Corporation)
Drivers32: VIDC.WMV3 - C:\WINNT\System32\wmv9vcm.dll (Microsoft Corporation)
Drivers32: wave1 -  File not found
Drivers32: wave2 -  File not found
Drivers32: wave3 -  File not found
Drivers32: wave4 -  File not found
Drivers32: wave5 -  File not found
Drivers32: wave6 -  File not found
Drivers32: wave7 -  File not found
Drivers32: wave8 -  File not found
Drivers32: wave9 -  File not found
 
CREATERESTOREPOINT
Error creating restore point.
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.03.31 14:18:22 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.03.30 02:41:06 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Förster\Application Data\Malwarebytes
[2012.03.30 02:40:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.03.30 02:40:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.03.30 02:40:36 | 000,018,800 | ---- | C] (Malwarebytes Corporation) -- C:\WINNT\System32\drivers\mbam.sys
[2012.03.30 02:40:34 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.03.29 08:07:07 | 000,000,000 | ---D | C] -- C:\Windows
[2012.03.29 02:21:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Förster\Application Data\WinRAR
[2012.03.27 08:35:30 | 000,000,000 | ---D | C] -- C:\_OTL
[4 C:\WINNT\*.tmp files -> C:\WINNT\*.tmp -> ]
[1 C:\WINNT\System32\*.tmp files -> C:\WINNT\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.04.06 23:09:26 | 003,804,160 | R--- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\ESBK.mbb
[2012.04.06 23:09:25 | 001,775,616 | R--- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\ESBK.mb
[2012.04.06 21:10:23 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_230.dat
[2012.03.31 15:49:58 | 000,820,450 | -H-- | M] () -- C:\WINNT\ShellIconCache
[2012.03.30 02:40:53 | 000,000,633 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.03.29 02:22:57 | 000,306,612 | ---- | M] () -- C:\_OTL.zip
[2012.03.29 02:09:31 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_22c.dat
[2012.03.12 20:07:28 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_240.dat
[2012.03.12 20:00:52 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_364.dat
[4 C:\WINNT\*.tmp files -> C:\WINNT\*.tmp -> ]
[1 C:\WINNT\System32\*.tmp files -> C:\WINNT\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.04.06 21:10:22 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_230.dat
[2012.03.30 02:40:53 | 000,000,633 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk
[2012.03.29 02:21:17 | 000,306,612 | ---- | C] () -- C:\_OTL.zip
[2012.03.29 02:09:31 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_22c.dat
[2012.03.12 20:07:28 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_240.dat
[2012.03.12 20:00:52 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_364.dat
[2012.03.06 10:24:39 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_370.dat
[2012.03.06 10:12:42 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_23c.dat
[2012.03.05 16:08:37 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_238.dat
[2011.05.27 12:32:49 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_4bc.dat
[2010.08.21 17:24:26 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_268.dat
[2010.08.21 13:03:41 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_5cc.dat
[2010.08.14 19:17:53 | 000,111,932 | ---- | C] () -- C:\WINNT\System32\EPPICPrinterDB.dat
[2010.08.14 19:17:53 | 000,021,390 | ---- | C] () -- C:\WINNT\System32\EPPICPattern5.dat
[2010.08.14 19:17:53 | 000,011,811 | ---- | C] () -- C:\WINNT\System32\EPPICPattern4.dat
[2010.08.14 19:17:53 | 000,004,943 | ---- | C] () -- C:\WINNT\System32\EPPICPattern6.dat
[2010.08.14 19:17:53 | 000,001,146 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_DU.dat
[2010.08.14 19:17:53 | 000,001,139 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_PT.dat
[2010.08.14 19:17:53 | 000,001,139 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_BP.dat
[2010.08.14 19:17:53 | 000,001,136 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_ES.dat
[2010.08.14 19:17:53 | 000,001,129 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_FR.dat
[2010.08.14 19:17:53 | 000,001,129 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_CF.dat
[2010.08.14 19:17:53 | 000,001,120 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_IT.dat
[2010.08.14 19:17:53 | 000,001,107 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_GE.dat
[2010.08.14 19:17:53 | 000,001,104 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_EN.dat
[2010.08.14 19:17:53 | 000,000,097 | ---- | C] () -- C:\WINNT\System32\PICSDK.ini
[2010.08.14 19:17:52 | 000,031,053 | ---- | C] () -- C:\WINNT\System32\EPPICPattern131.dat
[2010.08.14 19:17:52 | 000,027,417 | ---- | C] () -- C:\WINNT\System32\EPPICPattern121.dat
[2010.08.14 19:17:52 | 000,026,154 | ---- | C] () -- C:\WINNT\System32\EPPICPattern1.dat
[2010.08.14 19:17:52 | 000,024,903 | ---- | C] () -- C:\WINNT\System32\EPPICPattern3.dat
[2010.08.14 19:17:52 | 000,020,148 | ---- | C] () -- C:\WINNT\System32\EPPICPattern2.dat
[2010.07.17 11:44:00 | 000,000,000 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_3ac.dat
[2010.05.06 13:40:49 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_3b4.dat
[2010.05.04 14:19:38 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_3b0.dat
[2010.04.26 13:43:46 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_3bc.dat
[2010.04.20 11:29:10 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_104.dat
[2010.04.17 13:22:37 | 000,000,000 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_27c.dat
 
========== LOP Check ==========
 
[2011.07.06 21:59:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\EPSON
[2011.08.10 10:45:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\OpenOffice.org
[2011.07.18 16:49:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\TomTom
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2011.07.14 18:13:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\Adobe
[2011.09.24 17:25:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\Apple Computer
[2011.07.06 21:59:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\EPSON
[2011.07.06 21:37:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\Macromedia
[2012.03.30 02:41:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\Malwarebytes
[2011.09.24 14:35:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\Microsoft
[2011.07.06 20:57:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\Mozilla
[2011.08.10 10:45:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\OpenOffice.org
[2011.07.08 20:23:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\Sun
[2011.07.18 16:49:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\TomTom
[2012.03.29 02:21:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Förster\Application Data\WinRAR
 
< %APPDATA%\*.exe /s >
 
< %SYSTEMDRIVE%\*.exe >
[2003.06.19 21:05:04 | 000,150,528 | RHS- | M] () -- C:\arcldr.exe
[2003.06.19 21:05:04 | 000,163,840 | RHS- | M] () -- C:\arcsetup.exe
 
< MD5 for: AGP440.SYS  >
[2010.02.10 15:52:32 | 010,091,200 | ---- | M] () .cab file -- C:\WINNT\Driver Cache\i386\sp4.cab:AGP440.sys
[2010.02.10 15:52:32 | 010,091,200 | ---- | M] () .cab file -- C:\WINNT\ServicePackFiles\i386\sp4.cab:AGP440.sys
[2003.06.19 21:05:04 | 000,021,008 | ---- | M] (Microsoft Corporation) MD5=CDDB71A90077C93BEA5C72507F0B1394 -- C:\WINNT\ServicePackFiles\i386\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2010.02.10 15:52:32 | 010,091,200 | ---- | M] () .cab file -- C:\WINNT\Driver Cache\i386\sp4.cab:atapi.sys
[2010.02.10 15:52:32 | 010,091,200 | ---- | M] () .cab file -- C:\WINNT\ServicePackFiles\i386\sp4.cab:atapi.sys
[2003.06.19 21:05:04 | 000,086,672 | ---- | M] (Microsoft Corporation) MD5=8C718AA8C77041B3285D55A0CE980867 -- C:\WINNT\ServicePackFiles\i386\atapi.sys
[2003.06.19 21:05:04 | 000,086,672 | ---- | M] (Microsoft Corporation) MD5=8C718AA8C77041B3285D55A0CE980867 -- C:\WINNT\system32\drivers\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2005.06.03 09:44:44 | 000,049,424 | ---- | M] (Microsoft Corporation) MD5=ABA7CF4DEA4975E37692DFA1DBCE1B79 -- C:\WINNT\system32\dllcache\EVENTLOG.DLL
[2005.06.03 09:44:44 | 000,049,424 | ---- | M] (Microsoft Corporation) MD5=ABA7CF4DEA4975E37692DFA1DBCE1B79 -- C:\WINNT\system32\EVENTLOG.DLL
[2003.06.19 21:05:04 | 000,047,888 | ---- | M] (Microsoft Corporation) MD5=F5DB4550941A365A49C400BC3C0090DE -- C:\WINNT\$NtUpdateRollupPackUninstall$\eventlog.dll
[2003.06.19 21:05:04 | 000,047,888 | ---- | M] (Microsoft Corporation) MD5=F5DB4550941A365A49C400BC3C0090DE -- C:\WINNT\ServicePackFiles\i386\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2005.06.02 21:14:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\$NtUninstallKB954600_WM41$\netlogon.dll
[2005.06.03 09:44:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\$NtUninstallKB957097$\netlogon.dll
[2005.06.02 12:14:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\$NtUninstallKB960803$\netlogon.dll
[2005.06.02 21:14:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\$NtUninstallKB960859$\netlogon.dll
[2005.06.03 09:44:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\system32\dllcache\NETLOGON.DLL
[2005.06.02 21:14:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\system32\NETLOGON.DLL
[2003.06.19 21:05:04 | 000,371,984 | ---- | M] (Microsoft Corporation) MD5=AFFDAF795FF9B3A8AAA5A36E95FB11E6 -- C:\WINNT\$NtUpdateRollupPackUninstall$\netlogon.dll
[2003.06.19 21:05:04 | 000,371,984 | ---- | M] (Microsoft Corporation) MD5=AFFDAF795FF9B3A8AAA5A36E95FB11E6 -- C:\WINNT\ServicePackFiles\i386\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2003.06.19 21:05:04 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F596F47F60D63D79BD91E91919988481 -- C:\WINNT\$NtUpdateRollupPackUninstall$\scecli.dll
[2003.06.19 21:05:04 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F596F47F60D63D79BD91E91919988481 -- C:\WINNT\ServicePackFiles\i386\scecli.dll
[2005.06.03 09:44:44 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F7B05B1A74D0F1C23D4D14C77F50A819 -- C:\WINNT\system32\dllcache\scecli.dll
[2005.06.03 09:44:44 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F7B05B1A74D0F1C23D4D14C77F50A819 -- C:\WINNT\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2007.03.06 13:17:36 | 000,381,712 | ---- | M] (Microsoft Corporation) MD5=3AE4FAC4D8FC34F75D7CFFB20CF1EC55 -- C:\WINNT\system32\dllcache\USER32.DLL
[2007.03.06 13:17:36 | 000,381,712 | ---- | M] (Microsoft Corporation) MD5=3AE4FAC4D8FC34F75D7CFFB20CF1EC55 -- C:\WINNT\system32\USER32.DLL
[2003.06.19 21:05:04 | 000,403,728 | ---- | M] (Microsoft Corporation) MD5=DC81AC1067AD32F39D3B673CA8345C46 -- C:\WINNT\$NtUninstallKB925902$\user32.dll
[2003.06.19 21:05:04 | 000,403,728 | ---- | M] (Microsoft Corporation) MD5=DC81AC1067AD32F39D3B673CA8345C46 -- C:\WINNT\ServicePackFiles\i386\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2003.06.19 21:05:04 | 000,017,680 | ---- | M] (Microsoft Corporation) MD5=11A1AA9DF8C44386F72018D06F2E0E71 -- C:\Windows\System32\USERINIT.EXE
[2003.06.19 21:05:04 | 000,017,680 | ---- | M] (Microsoft Corporation) MD5=11A1AA9DF8C44386F72018D06F2E0E71 -- C:\WINNT\ServicePackFiles\i386\userinit.exe
[2003.06.19 21:05:04 | 000,017,680 | ---- | M] (Microsoft Corporation) MD5=11A1AA9DF8C44386F72018D06F2E0E71 -- C:\WINNT\system32\USERINIT.EXE
 
< MD5 for: WINLOGON.EXE  >
[2003.06.19 21:05:04 | 000,184,592 | ---- | M] (Microsoft Corporation) MD5=3EF30E020F67292F5698C8EAFDBB27EC -- C:\WINNT\$NtUpdateRollupPackUninstall$\winlogon.exe
[2003.06.19 21:05:04 | 000,184,592 | ---- | M] (Microsoft Corporation) MD5=3EF30E020F67292F5698C8EAFDBB27EC -- C:\WINNT\ServicePackFiles\i386\winlogon.exe
[2005.06.03 08:37:50 | 000,190,224 | ---- | M] (Microsoft Corporation) MD5=56E6FE4DED78FFD01679D467746A16F3 -- C:\WINNT\system32\dllcache\WINLOGON.EXE
[2005.06.03 08:37:50 | 000,190,224 | ---- | M] (Microsoft Corporation) MD5=56E6FE4DED78FFD01679D467746A16F3 -- C:\WINNT\system32\WINLOGON.EXE
[2012.01.13 14:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2001.05.08 13:00:00 | 000,012,016 | ---- | M] (Microsoft Corporation) MD5=C8A15978B9C09023A3E096CB9B6689C5 -- C:\WINNT\system32\dllcache\ws2ifsl.sys
[2001.05.08 13:00:00 | 000,012,016 | ---- | M] (Microsoft Corporation) MD5=C8A15978B9C09023A3E096CB9B6689C5 -- C:\WINNT\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2010.02.09 21:38:57 | 000,081,920 | ---- | M] () -- C:\WINNT\System32\config\default.sav
[2010.02.09 21:38:57 | 000,544,768 | ---- | M] () -- C:\WINNT\System32\config\software.sav
[2010.02.09 21:38:57 | 000,360,448 | ---- | M] () -- C:\WINNT\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINNT\system32\*.tmp files -> C:\WINNT\system32\*.tmp -> ]
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 7268 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1957.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 7180 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1952.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6828 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1953.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6632 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1959.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6620 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1956.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 6408 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1958.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 5760 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1954.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 5380 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1955.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 4480 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1304.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 4388 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1303.jpg:Q30lsldxJoudresxAaaqpcawXc
@Alternate Data Stream - 4208 bytes -> C:\Dokumente und Einstellungen\Förster\Eigene Dateien\100_1302.jpg:Q30lsldxJoudresxAaaqpcawXc

< End of report >

Das Wichtigste der Daten sind wohl die Bilder. Besteht die Gefahr, wenn ich die Bilder auf einem USB-Stick sichere, dass ich mit diesem USB Stick weitere Computer infiziere?

cosinus 06.04.2012 17:17

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C:) nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

http://saved.im/mtkwmtcxexhp/setting...8_16-25-18.jpg

bloeci 09.04.2012 20:48

Verdammt, mist Windows 2000... TDSS Killer ist keine zulässige Win32 Anwendung. Beim Googlen hab ich herausgefunden, dass TDSS Killer erst ab XP nutzbar ist. Und nun? Hab auf einer Website den Vergleich zum Spyware Terminator gefunden, gehts vielleicht auch damit, der soll Win2000 unterstützen.

cosinus 09.04.2012 22:06

dann lass das Tool weg

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

bloeci 11.04.2012 19:59

Windows 2000 is no longer supportet - Programm geschlossen. So ein Driss. Ich danke Dir für deine Geduld. Könntest du mir vielleicht die wichtigste Frage beantworten: Gesicherte Daten des PCs, die ich auf einen anderen PC überspiele: Kann ich damit den neuen PC gefährden? Könnte es sein, dass der Virus/Trojaner über die kopierten Daten mittransportiert wird? Ein ja, nein, weiß ich nicht, fände ich sehr hilfreich. Langsam verliere ich ein wenig die Geduld und bin kurz davor das Gerät aufzugeben. Dafür ist aber eben die Frage wichtig, ob ich die Daten ohne bedenken zwischen den PCs hin und her transportieren kann.

Danke, danke, danke!

cosinus 12.04.2012 08:54

Zum Thema Datensicherung von infizierten Systemen; mach das über ne Live-CD wie Knoppix, Ubuntu (zweiter Link in meiner Signatur) oder über PartedMagic. Grund: Bei einem Live-System sind keine Schädlinge des infizierten Windows-Systems aktiv, damit ist dann auch eine negative Beeinflussung des Backups durch Schädlinge ausgeschlossen.

Du brauchst natürlich auch ein Sicherungsmedium, am besten dürfte eine externe Platte sein. Sofern du nicht allzuviel sichern musst, kann auch ein USB-Stick ausreichen.

Hier eine kurze Anleitung zu PartedMagic, funktioniert prinzipell so aber fast genauso mit allen anderen Live-Systemen auch.

1. Lade Dir das ISO-Image von PartedMagic herunter, müssten ca. 180 MB sein
2. Brenn es per Imagebrennfunktion auf CD, geht zB mit ImgBurn unter Windows
3. Boote von der gebrannten CD, im Bootmenü von Option 1 starten und warten bis der Linux-Desktop oben ist

http://partedmagic.com/lib/exe/fetch...ia=desktop.png

4. Du müsstest ein Symbol "Mount Devices" finden, das doppelklicken
5. Mounte die Partitionen wo Windows installiert ist, meistens isses /dev/sda1 und natürlich noch etwaige andere Partitionen, wo noch Daten liegen und die gesichert werden müssen - natürlich auch die der externen Platte (du bekommmst nur Lese- und Schreibzugriffe auf die Dateisysteme, wenn diese gemountet sind)
6. Kopiere die Daten der internen Platte auf die externe Platte - kopiere nur persönliche Dateien, Musik, Videos, etc. auf die Backupplatte, KEINE ausführbaren Dateien wie Programme/Spiele/Setups!!
7. Wenn fertig, starte den Rechner neu, schalte die ext. Platte ab und boote von der Windows-DVD zur Neuinstallation (Anleitung beachten)

bloeci 12.04.2012 20:22

Okay, danke, dann werde ich das so machen! Eine Frage habe ich noch, dann sind wir fertig. Ich werde die Daten sichern und gucken, was mit dem PC anschließend passiert. Gibt es eine Möglichkeit, ein Programm, mit dem ich überprüfen kann, ob ggf. ein anderes System schon betroffen ist? Kurz bevor der PC schlapp gemacht hat, wurden Daten transportiert. Nun sind wir uns nicht sicher, ob das zweite System ggf infiziert ist. Schlägt der normale Virenscanner (Antivir, Microsoft Sec. Essentials) an, oder gibt es eine Alternative?

Vielen, lieben Dank!

cosinus 12.04.2012 22:08

Auf einen Virenscanner ist leider kein Verlass.
Er kann was melden, muss aber nicht.
Ich würde einen verdächtigen PC erstmal mit Malwarebytes und ESET scannen lassen, brauchst du Anleitungen?
Falls du Logs posten willst, mach für jeden PC bitte einen separaten Strang auf, damit das hier nicht im Chaos endet. Danke :)

bloeci 16.04.2012 20:08

Hallo, vielen Dank für deine Hilfe und deine Geduld. Anleitungen habe ich ja am Anfang des Threads. Ich werde den möglichweise befallenen Rechner scannen und die Logs hier rein stellen.

Vielen lieben Dank! Hier hat sich das Problem erstmal erledigt. Ich werde die Daten über eine Live-CD sichern und den Rechner dann neu machen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131