Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert. (https://www.trojaner-board.de/114048-haben-windows-verschluesselungs-trojaner-infiziert.html)

irm 25.04.2012 09:57
Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert.
 
Gestern Nacht habe ich in Erwartung einer dringenden Email zu schnell auf Enter gedrückt AVIRA Premium hat die Maleware zwar erkannt und versucht zu blockieren, da war es aber offensichtlich schon zu spät.
Jedenfalls ist mein Desktop-Rechner jetzt infiziert.
Heute Morgen nach dem Einloggen auf dem Benutzerkonto schwarzer Bildschirm mit weißer Maske:
"Willkommen bei Windows Update
Sie haben sich mit einen Windows-Verschlüsselungs Trojaner infiziert."
- ich denke es dürfte sinnfremd sein den ganzen Text hier einzugeben, zu mal er bereits von einem anderen Geschädigten vollständig abgeschrieben wurde -
Jedenfalls endet das Ganze mit der üblichen Zahlungsaufforderung über Ukash bzw. Paysafe. Ich Trottel hätte auf die offensichtlichen Schreibfehler inder Mail achten sollen.
"trojaner-board" habe ich über google an meinem nicht infizierten Labtop gefunden durch Eingabe der Zeile "Sie haben sich... usw."

Nachdem ich den Thread gelesen habe, habe ich vorischtshalber nichts weiter unternommen, d.h. mein Bildschirm zeigt immer noch diese Meldung.
Ich hoffe auf ihre Hilfe.
Im voraus Danke

System auf dem infizierten Desktoprechner XP professional

markusg 25.04.2012 10:16
hi,
hast du nen zweiten pc zur verfügung, und kannst mir die infizierte mail an
http://markusg.trojaner-board.de
weiter leiten?
keine angst, beim weiter leiten passiert nichts.
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLpe Download OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

irm 25.04.2012 14:03
Also hier der Log-File. Was ich nicht verstehe, wieso "beide" Logfiles, ich hab zur Zei nur einen.

-------------------OTL Logfile:
Code:
OTL logfile created on: 4/25/2012 3:39:57 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 89.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 152.89 Gb Total Space | 49.01 Gb Free Space | 32.06% Space Free | Partition Type: NTFS
Drive D: | 1.88 Gb Total Space | 1.75 Gb Free Space | 92.81% Space Free | Partition Type: FAT
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled] --  -- (HidServ)
SRV - [2012/04/15 03:38:30 | 000,253,088 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/03/28 02:52:22 | 003,417,376 | ---- | M] () [Auto] -- C:\programme\gemeinsame dateien\akamai/netsession_win_6c825ce.dll -- (Akamai)
SRV - [2012/02/13 10:09:39 | 000,342,480 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avmailc.exe -- (AntiVirMailService)
SRV - [2012/02/05 11:27:02 | 003,246,040 | ---- | M] (Acronis) [Auto] -- C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe -- (afcdpsrv)
SRV - [2011/10/24 16:32:00 | 000,055,144 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011/10/24 03:53:38 | 002,565,632 | ---- | M] (Deutsche Telekom AG) [Auto] -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe -- (Netzmanager Service)
SRV - [2011/10/11 10:05:59 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011/10/11 10:05:48 | 000,463,824 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE -- (AntiVirWebService)
SRV - [2011/10/11 10:05:46 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/09/22 17:21:10 | 000,805,032 | ---- | M] (Acronis) [Auto] -- C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)
SRV - [2011/07/20 00:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2010/05/15 09:32:34 | 000,288,112 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe -- (Adobe Version Cue CS4)
SRV - [2010/03/18 05:19:26 | 000,113,152 | ---- | M] (ArcSoft Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACService.exe -- (ACDaemon)
SRV - [2009/06/01 05:26:44 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2008/06/16 10:58:54 | 000,069,632 | ---- | M] (Tablet Driver) [Auto] -- C:\WINDOWS\System32\Drivers\WTSRV.EXE -- (WinTabService)
SRV - [2008/05/19 07:13:20 | 000,057,344 | ---- | M] (Nalpeiron Ltd.) [Auto] -- C:\WINDOWS\system32\ASTSRV.EXE -- (ASTSRV)
SRV - [2008/04/13 22:22:49 | 000,015,872 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINDOWS\system32\inetsrv\inetinfo.exe -- (W3SVC)
SRV - [2008/04/13 22:22:49 | 000,015,872 | ---- | M] (Microsoft Corporation) [Disabled] -- C:\WINDOWS\system32\inetsrv\inetinfo.exe -- (IISADMIN)
SRV - [2008/01/16 04:51:44 | 000,030,312 | ---- | M] (Microsoft Corporation) [Auto] -- C:\Programme\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe -- (BcmSqlStartupSvc)
SRV - [2007/12/20 22:01:02 | 000,060,928 | ---- | M] () [Auto] -- C:\xampp\service.exe -- (XAMPP)
SRV - [2007/06/20 12:32:42 | 000,072,704 | ---- | M] (Adobe Systems) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2007/06/01 04:21:30 | 000,271,920 | ---- | M] (Nero AG) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2007/02/12 07:38:04 | 000,355,096 | ---- | M] (Intel Corporation) [Auto] -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R)
SRV - [2006/11/06 09:48:40 | 000,090,112 | ---- | M] (SigmaTel, Inc.) [Auto] -- C:\Programme\Sigmatel\C-Major Audio\WDM\stacsv.exe -- (STacSV)
SRV - [2006/10/26 09:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2005/09/30 13:22:50 | 000,096,341 | ---- | M] (Canon Inc.) [Auto] -- C:\Programme\Canon\CAL\CALMAIN.exe -- (CCALib8)
SRV - [2003/03/10 05:31:34 | 000,053,248 | ---- | M] (Hewlett-Packard Company) [Auto] -- C:\WINDOWS\system32\hpbhksrv.exe -- (HP Status Print)
SRV - [2003/03/10 05:30:28 | 000,057,344 | ---- | M] (Hewlett-Packard Company) [Auto] -- C:\WINDOWS\system32\hpb2ksrv.exe -- (HP Status)
SRV - [2000/05/24 09:20:36 | 000,015,360 | ---- | M] (Adobe Systems Incorporated) [Disabled] -- C:\WINDOWS\system32\ATMsrvc.exe -- (ATMsrvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (TSMPacket)
DRV - File not found [Kernel | On_Demand] --  -- (Tablet2k)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand] --  -- (dsltestSp5)
DRV - File not found [Kernel | On_Demand] --  -- (cpuz132)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2012/02/15 05:40:40 | 000,137,416 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/02/05 11:34:19 | 000,170,528 | ---- | M] (Acronis) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\snapman.sys -- (snapman)
DRV - [2012/02/05 11:27:05 | 000,167,968 | ---- | M] (Acronis) [File_System | On_Demand] -- C:\WINDOWS\system32\drivers\afcdp.sys -- (afcdp)
DRV - [2012/02/05 11:26:58 | 000,752,128 | ---- | M] (Acronis) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\tdrpm273.sys -- (tdrpman273) Acronis Try&Decide and Restore Points filter (build 273)
DRV - [2012/02/05 11:26:57 | 000,600,928 | ---- | M] (Acronis) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\timntr.sys -- (timounter)
DRV - [2011/10/11 10:06:12 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/10/11 10:06:12 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010/09/16 11:02:33 | 000,035,040 | ---- | M] (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand] -- C:\Programme\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys -- (TelekomNM3)
DRV - [2010/06/17 10:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008/09/08 08:10:23 | 000,014,848 | ---- | M] (Tablet Driver) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\UCTblHid.sys -- (UCTblHid)
DRV - [2007/06/07 11:16:28 | 000,018,944 | ---- | M] (PenTablet Driver) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PTSimBus.sys -- (PTSimBus)
DRV - [2007/04/23 09:28:56 | 000,018,432 | ---- | M] (Tablet Driver) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TClass2k.sys -- (TClass2k)
DRV - [2007/04/23 09:28:56 | 000,010,752 | ---- | M] (PenTablet Driver) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\PTSimHid.sys -- (PTSimHid)
DRV - [2007/01/05 08:20:45 | 000,044,416 | R--- | M] (Intel Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HECI.sys -- (HECI) Intel(R)
DRV - [2006/11/06 09:48:52 | 001,184,168 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA)
DRV - [2005/12/02 11:38:04 | 000,041,728 | ---- | M] (Sonic Focus, Inc) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sfng32.sys -- (sfng32)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=bc75221a0000000000000019d16e7c90&tlver=1.4.19.19&ss=1&affID=17395
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Gast_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Iris_Rosenwald_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Reiner_Rosenwald_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = Babylon Search
IE - HKU\Reiner_Rosenwald_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = MSN Deutschland: Hotmail, Skype Download und Messenger sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
IE - HKU\Reiner_Rosenwald_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\Reiner_Rosenwald_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = DA 3C 75 54 D6 2B CB 01  [binary data]
IE - HKU\Reiner_Rosenwald_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Reiner_Rosenwald_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local;127.0.0.1:9421;<local>
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_233.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Programme\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Acrobat: C:\Programme\Adobe\Acrobat 9.0\Acrobat\Air\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/03/21 03:48:10 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/04/14 03:21:30 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 11.0.1\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011/11/04 10:38:36 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 11.0.1\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins
 
[2012/03/21 03:48:14 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012/03/21 03:48:10 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012/02/19 08:26:48 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2009/02/21 02:24:52 | 000,660,872 | ---- | M] (Microsoft Corporation) -- C:\Programme\mozilla firefox\plugins\npOGAPlugin.dll
[2012/01/18 04:07:33 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/09/07 11:15:54 | 000,002,226 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\babylon.xml
[2012/01/18 04:07:33 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/01/18 04:07:33 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/01/18 04:07:33 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/01/18 04:07:33 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/01/18 04:07:33 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012/02/22 16:35:47 | 000,001,679 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      activate.adobe.com
O1 - Hosts: 127.0.0.1      practivate.adobe.com
O1 - Hosts: 127.0.0.1      adobeereg.com
O1 - Hosts: 127.0.0.1      Registration
O1 - Hosts: 127.0.0.1      activate.adobe.com
O1 - Hosts: 127.0.0.1      activate-sea.adobe.com
O1 - Hosts: 127.0.0.1      activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1      wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1      192.150.18.108
O1 - Hosts: 127.0.0.1      activate.adobe.com:443
O1 - Hosts: 127.0.0.1      3dns-3.adobe.com
O1 - Hosts: 127.0.0.1      3dns-2.adobe.com
O1 - Hosts: 127.0.0.1      adobeereg.com
O1 - Hosts: 127.0.0.1      Registration
O1 - Hosts: 127.0.0.1      activate.adobe.com
O1 - Hosts: 127.0.0.1      activate-sea.adobe.com
O1 - Hosts: 127.0.0.1      activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1      wwis-dubc1-vip60.adobe.com
O1 - Hosts: 127.0.0.1      192.150.18.108
O1 - Hosts: 127.0.0.1      adobeereg.com
O1 - Hosts: 127.0.0.1      Registration
O1 - Hosts: 127.0.0.1      activate.adobe.com
O1 - Hosts: 127.0.0.1      activate-sea.adobe.com
O1 - Hosts: 127.0.0.1      activate-sjc0.adobe.com
O1 - Hosts: 127.0.0.1      wwis-dubc1-vip60.adobe.com
O1 - Hosts: 12 more lines...
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.35.10\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll (Google Inc.)
O2 - BHO: (FDMIECookiesBHO Class) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll ()
O2 - BHO: (SmartSelect Class) - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKU\Gast_ON_C\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKU\Iris_Rosenwald_ON_C\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKU\Reiner_Rosenwald_ON_C\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [Acronis Scheduler2 Service] C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe (Acronis)
O4 - HKLM..\Run: [Adobe Acrobat Speed Launcher] C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe_ID0ENQBO] C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4Tray.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AdobeCS4ServiceManager] C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.)
O4 - HKLM..\Run: [APSDaemon] C:\Programme\Gemeinsame Dateien\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [ArcSoft Connection Service] C:\Programme\Gemeinsame Dateien\ArcSoft\Connection Service\Bin\ACDaemon.exe (ArcSoft Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [BabylonToolbar] C:\Programme\BabylonToolbar\BabylonToolbar\1.4.19.19\BabylonToolbarsrv.exe (Babylon Ltd.)
O4 - HKLM..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe (CANON INC.)
O4 - HKLM..\Run: [CorelDRAW Graphics Suite 11b]  File not found
O4 - HKLM..\Run: [HP Status] C:\WINDOWS\system32\hpstatus.exe (Hewlett-Packard Company)
O4 - HKLM..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe (Intel Corporation)
O4 - HKLM..\Run: [ISUSPM Startup] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (Macrovision Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe ()
O4 - HKLM..\Run: [OpwareSE4] C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [SAOB Monitor] C:\Programme\Acronis\OnlineBackupStandalone\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [SigmatelSysTrayApp] C:\WINDOWS\sttray.exe (SigmaTel, Inc.)
O4 - HKLM..\Run: [Smart File Advisor] C:\Programme\Smart File Advisor\sfa.exe (Filefacts.net)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Nuance Communications, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe (Acronis)
O4 - HKLM..\Run: [WTClient] C:\WINDOWS\System32\WTClient.exe (Tablet Driver)
O4 - HKU\Gast_ON_C..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\Iris_Rosenwald_ON_C..\Run: [BC75221A] C:\WINDOWS\system32\CB6E3819BC75221AB5F4.exe (THHiq)
O4 - HKU\Iris_Rosenwald_ON_C..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKU\Iris_Rosenwald_ON_C..\Run: [Realtecdriver] C:\Dokumente und Einstellungen\Iris Rosenwald\Anwendungsdaten\Realtec\Realtecdriver.exe (THHiq)
O4 - HKU\Reiner_Rosenwald_ON_C..\Run: [AdobeBridge]  File not found
O4 - HKU\Reiner_Rosenwald_ON_C..\Run: [Akamai NetSession Interface] C:\Dokumente und Einstellungen\Reiner Rosenwald\Lokale Einstellungen\Anwendungsdaten\Akamai\netsession_win.exe (Akamai Technologies, Inc)
O4 - HKU\Reiner_Rosenwald_ON_C..\Run: [BC75221A] C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Ljltcidrhk\5CDBCC0ABC75221A48DD.exe (THHiq)
O4 - HKU\Reiner_Rosenwald_ON_C..\Run: [Free Download Manager] C:\Programme\Free Download Manager\fdm.exe (FreeDownloadManager.ORG)
O4 - HKU\Reiner_Rosenwald_ON_C..\Run: [Realtecdriver] C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Realtec\Realtecdriver.exe (THHiq)
O4 - HKU\Reiner_Rosenwald_ON_C..\Run: [WISE-FTP Task Planner] C:\Programme\AceBIT\WISE-FTP 5\wf_tp.exe (AceBIT GmbH)
O4 - HKU\Administrator_ON_C..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe (Nero AG)
O4 - Startup: C:\Dokumente und Einstellungen\Default User\Startmenü\Programme\Autostart\DSL-Manager.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\Gast\Startmenü\Programme\Autostart\DSL-Manager.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\Reiner Rosenwald\Startmenü\Programme\Autostart\BJ Status Monitor Canon PIXMA iP4000.lnk = C:\Dokumente und Einstellungen\Reiner Rosenwald\cnmss Canon PIXMA iP4000 (Local).exe (CANON INC.)
O4 - Startup: C:\Dokumente und Einstellungen\Reiner Rosenwald\Startmenü\Programme\Autostart\Dropbox.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\Reiner Rosenwald\Startmenü\Programme\Autostart\Netzmanager.lnk = C:\Programme\Netzmanager\netzmanager.exe (Deutsche Telekom AG)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Gast_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Iris_Rosenwald_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Reiner_Rosenwald_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Reiner_Rosenwald_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Reiner_Rosenwald_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} hxxp://download.microsoft.com/download/e/7/3/e7345c16-80aa-4488-ae10-9ac6be844f99/OGAControl.cab (Office Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181905949568 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\CB6E3819BC75221AB5F4.exe) - C:\WINDOWS\system32\CB6E3819BC75221AB5F4.exe (THHiq)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper:
O24 - Desktop BackupWallPaper:
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007/06/15 04:46:35 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{1b755ebc-1b26-11dc-a775-0019d16e7c90}\Shell\AutoRun\command - "" = csup.bat
O33 - MountPoints2\{70946280-1b3d-11dc-b940-0019d16e7c90}\Shell\AutoRun\command - "" = E:\sigverif.bat
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {0213C6AF-5562-4D09-884C-2ADCFC8C2F35} - Microsoft .NET Framework 1.1 Security Update (KB2656353)
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Microsoft VM
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {102BA5AA-494F-A1E1-8306-51E2916863A5} - Vektorgrafik-Rendering (VML)
ActiveX: {1897C549-AE52-4571-8996-44854F5612B2} - Microsoft .NET Framework 1.1 Security Update (KB2656370)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2D01195A-33CB-45A8-1079-2AEC150B288F} - NetShow
ActiveX: {30A45B8B-F027-1BE0-EDD4-91D01E014B89} - Microsoft .NET Framework 1.1 Security Update (KB2656353)
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {57A3957D-23AC-3100-688F-04BDDDBB7E20} - DirectAnimation
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5D127879-9779-0AFF-37A8-FAC94114C8F0} - Themes Setup
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {7F9EA6BE-D8D6-63BD-A475-67963538A7CF} - Dynamic HTML-Datenbindung für Java
ActiveX: {8300EABA-8ABF-1E64-DFCB-A868C9B72D01} - Vektorgrafik-Rendering (VML)
ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {9E314702-2434-1E05-0A37-97E67DD130BD} - Vektorgrafik-Rendering (VML)
ActiveX: {A3902912-BC7C-2AC9-1A26-0A759483C7A7} - Vektorgrafik-Rendering (VML)
ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CA197FC0-B248-59E4-2383-D62FB5BB0E82} - Vektorgrafik-Rendering (VML)
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {F30DD2BE-962B-EF97-CDE1-38D44DBB3D26} - Microsoft Windows Media Player 6.4
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: Microsoft Base Smart Card Crypto Provider Package -
 
NetSvcs: 6to4 -  File not found
NetSvcs: HidServ -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpReg: Acrobat Assistant 8.0 - hkey= - key= - C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
MsConfig - StartUpReg: Adobe Acrobat Speed Launcher - hkey= - key= - C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: AdobeBridge - hkey= - key= -  File not found
MsConfig - StartUpReg: AdobeCS4ServiceManager - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: Adobe_ID0ENQBO - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4Tray.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: AppleSyncNotifier - hkey= - key= -  File not found
MsConfig - StartUpReg: BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - hkey= - key= - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
MsConfig - StartUpReg: ctfmon.exe - hkey= - key= -  File not found
MsConfig - StartUpReg: ISUSPM Startup - hkey= - key= - C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe (Macrovision Corporation)
MsConfig - StartUpReg: ISUSScheduler - hkey= - key= - C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe (Macrovision Corporation)
MsConfig - StartUpReg: LanguageShortcut - hkey= - key= - C:\Programme\CyberLink\PowerDVD\Language\Language.exe ()
MsConfig - StartUpReg: MSMSGS - hkey= - key= - C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)
MsConfig - StartUpReg: NapsterShell - hkey= - key= -  File not found
MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= -  File not found
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/04/25 03:19:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Iris Rosenwald\Anwendungsdaten\Avira
[2012/04/25 03:13:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Iris Rosenwald\Anwendungsdaten\Realtec
[2012/04/24 15:02:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2012/04/24 14:02:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Ljltcidrhk
[2012/04/24 13:53:30 | 000,067,072 | -H-- | C] (THHiq) -- C:\WINDOWS\System32\CB6E3819BC75221AB5F4.exe
[2012/04/24 13:53:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Realtec
[2012/04/23 12:07:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Desktop\nathanstaines-starkers-html5-b101efa
[2012/04/23 12:04:56 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Desktop\coffeelove-stylesheet
[2012/04/23 12:00:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Desktop\coffeelove-header
[2012/04/19 09:35:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Office Live Add-in
[2012/04/19 09:35:46 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft
[2012/04/04 02:48:23 | 000,418,464 | ---- | C] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012/03/27 13:04:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Eigene Dateien\EasyRotatorPreview
[2012/03/27 13:04:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\AppData
[2012/03/27 13:00:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Eigene Dateien\EasyRotatorWPContent
[2012/03/27 12:54:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\com.dwuser.erwizard.EasyRotatorWizard
[2012/03/27 12:54:23 | 000,000,000 | ---D | C] -- C:\Programme\EasyRotator
[2009/07/24 15:31:38 | 000,013,824 | ---- | C] (CANON INC.) -- C:\Dokumente und Einstellungen\Reiner Rosenwald\cnmss Canon PIXMA iP4000 (Local).exe
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/04/25 07:49:34 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/04/25 07:43:43 | 000,249,324 | ---- | M] () -- C:\WINDOWS\System32\NvApps.xml
[2012/04/25 07:39:46 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/04/25 07:38:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012/04/25 07:31:57 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012/04/25 07:00:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/04/25 06:59:00 | 000,000,966 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2012/04/25 03:19:44 | 000,001,984 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/04/25 03:14:18 | 000,000,022 | ---- | M] () -- C:\WINDOWS\hpjmonsv.ini
[2012/04/25 03:14:16 | 000,002,404 | ---- | M] () -- C:\WINDOWS\hpstatus.ini
[2012/04/24 19:09:41 | 000,799,240 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2012/04/24 19:09:29 | 000,000,968 | ---- | M] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Startmenü\Programme\Autostart\BJ Status Monitor Canon PIXMA iP4000.lnk
[2012/04/24 15:09:59 | 000,020,531 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\locked-R49LW.ltvk
[2012/04/24 15:08:59 | 000,000,305 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\locked-addr_file.html.bflh
[2012/04/24 15:08:40 | 000,000,079 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\locked-Desktop anzeigen.scf.wixa
[2012/04/24 13:53:30 | 000,067,072 | -H-- | M] (THHiq) -- C:\WINDOWS\System32\CB6E3819BC75221AB5F4.exe
[2012/04/23 16:46:46 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325
[2012/04/23 16:46:36 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/04/23 16:46:26 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/04/23 16:46:18 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/04/23 16:46:10 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/04/23 16:45:06 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/04/22 05:30:52 | 000,002,547 | ---- | M] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Corel CAPTURE X3.lnk
[2012/04/21 08:05:58 | 000,000,754 | ---- | M] () -- C:\WINDOWS\WORDPAD.INI
[2012/04/20 09:10:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2012/04/20 08:42:25 | 000,002,313 | ---- | M] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Adobe Acrobat 9 Pro.lnk
[2012/04/19 09:35:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Microsoft Office Live Add-in
[2012/04/16 08:20:53 | 000,002,521 | ---- | M] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Microsoft Office Word 2007.lnk
[2012/04/15 08:45:36 | 000,000,000 | ---- | M] () -- C:\WINDOWS\MEMORY.DMP
[2012/04/15 03:38:30 | 000,418,464 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012/04/15 03:38:30 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012/04/14 03:23:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Design Standard CS4
[2012/04/13 12:07:04 | 000,000,242 | ---- | M] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\.htaccess
[2012/04/13 09:37:30 | 000,000,600 | ---- | M] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND
[2012/04/12 04:18:16 | 000,590,760 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/04/12 04:18:16 | 000,525,736 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/04/12 04:18:16 | 000,130,692 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/04/12 04:18:16 | 000,099,482 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/04/12 04:11:44 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012/04/09 08:55:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\TeamViewer 4
[2012/04/07 09:24:12 | 000,002,523 | ---- | M] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Microsoft Office Excel 2007.lnk
[2012/04/07 07:27:32 | 000,002,563 | ---- | M] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Microsoft Office PowerPoint 2007.lnk
[2012/03/31 03:02:59 | 004,361,232 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/03/30 04:06:15 | 000,203,590 | ---- | M] () -- C:\WINDOWS\ATMREG.ATM
[2012/03/27 12:54:25 | 000,000,652 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EasyRotator.lnk
[2012/03/27 12:54:25 | 000,000,646 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\EasyRotator.lnk
[2012/03/27 12:51:21 | 009,340,841 | ---- | M] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Eigene Dateien\EasyRotatorWizard.air
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\*.tmp files -> C:\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/04/24 15:04:18 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/04/24 15:04:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/04/24 15:04:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/04/24 15:04:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/04/24 15:04:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/04/24 15:04:17 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/04/13 11:53:06 | 000,000,242 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\.htaccess
[2012/04/13 09:37:30 | 000,000,600 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Lokale Einstellungen\Anwendungsdaten\PUTTY.RND
[2012/04/04 02:48:23 | 000,000,884 | ---- | C] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012/03/27 12:54:25 | 000,000,652 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\EasyRotator.lnk
[2012/03/27 12:54:25 | 000,000,646 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\EasyRotator.lnk
[2012/03/27 12:50:54 | 009,340,841 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Eigene Dateien\EasyRotatorWizard.air
[2012/03/25 06:36:25 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI
[2012/03/14 14:18:15 | 000,061,950 | ---- | C] () -- C:\WINDOWS\System32\w3ctrs.ini
[2012/03/14 14:18:15 | 000,016,173 | ---- | C] () -- C:\WINDOWS\System32\axperf.ini
[2012/03/14 14:18:11 | 000,017,590 | ---- | C] () -- C:\WINDOWS\System32\infoctrs.ini
[2012/02/15 03:42:41 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/12/22 06:33:34 | 000,028,355 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR
[2011/05/26 12:30:00 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Lokale Einstellungen\Anwendungsdaten\{21B71621-293A-43E5-AA53-E0453B67BE03}
[2011/04/11 14:01:32 | 000,020,531 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\locked-R49LW.ltvk
[2011/04/11 13:52:27 | 000,786,504 | ---- | C] () -- C:\WINDOWS\System32\CNQ9602N.DAT
[2011/04/11 13:52:27 | 000,296,064 | ---- | C] () -- C:\WINDOWS\System32\CNQ9602W.DAT
[2011/04/06 15:35:04 | 000,011,776 | ---- | C] () -- C:\WINDOWS\System32\pmsbfn32.dll
[2011/04/06 15:33:07 | 000,000,404 | ---- | C] () -- C:\WINDOWS\MAXLINK.INI
[2011/04/03 12:11:49 | 000,003,830 | ---- | C] () -- C:\WINDOWS\Tablet8000x6000.ini
[2011/04/03 12:04:36 | 000,184,320 | ---- | C] () -- C:\WINDOWS\System32\WinTab32.dll
[2011/04/03 12:04:36 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\lhtool.exe
[2011/04/03 12:04:36 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\ucinst32.dll
[2011/02/01 17:58:36 | 1450,945,450 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\GRMCPRFRER_EN_DVD.iso
[2011/01/21 15:13:02 | 000,000,308 | ---- | C] () -- C:\WINDOWS\hpntwksetup.ini
[2011/01/19 15:22:01 | 000,000,022 | ---- | C] () -- C:\WINDOWS\hpjmonsv.ini
[2011/01/19 15:18:52 | 000,002,404 | ---- | C] () -- C:\WINDOWS\hpstatus.ini
[2011/01/19 15:18:47 | 000,029,184 | ---- | C] () -- C:\WINDOWS\System32\jfwapi.dll
[2011/01/04 14:12:16 | 000,028,346 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Kommagetrennte Werte (DOS).ADR
[2011/01/04 13:57:13 | 000,038,491 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Microsoft Excel 97-2003.ADR
[2011/01/04 13:57:08 | 000,000,028 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2010/11/12 11:57:26 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010/11/11 15:29:52 | 000,000,000 | ---- | C] () -- C:\WINDOWS\HPMProp.INI
[2010/11/11 14:40:18 | 000,000,010 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\USB002
[2010/11/11 14:37:55 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\USB003
[2010/10/28 16:49:30 | 000,000,066 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\C3183940-D6EC-42C5-B742-88F8E4EE41DE.DAT
[2010/10/12 14:29:26 | 000,085,396 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2010/06/12 09:09:22 | 000,799,240 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009/09/11 07:45:58 | 000,047,799 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\mdbu.bin
[2009/08/03 09:07:42 | 000,403,816 | ---- | C] () -- C:\WINDOWS\System32\OGACheckControl.dll
[2009/08/03 09:07:42 | 000,230,768 | ---- | C] () -- C:\WINDOWS\System32\OGAEXEC.exe
[2009/07/21 16:21:12 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\nnr.dll
[2009/04/30 18:31:10 | 001,657,376 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2009/04/30 18:31:08 | 000,449,056 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2009/04/30 18:31:08 | 000,436,768 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2009/04/30 18:31:06 | 001,724,416 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2009/04/30 18:31:06 | 001,507,328 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2009/04/30 18:31:06 | 001,101,824 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2009/04/30 18:31:06 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2009/04/30 16:02:00 | 001,597,690 | ---- | C] () -- C:\WINDOWS\System32\nvdata.bin
[2009/04/22 10:39:10 | 000,005,632 | ---- | C] () -- C:\Dokumente und Einstellungen\Iris Rosenwald\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/03/25 10:31:40 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2008/11/09 14:35:47 | 000,001,984 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2008/05/26 17:23:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008/05/26 17:23:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008/05/26 17:23:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008/05/26 16:59:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008/05/26 16:59:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
[2008/05/19 13:05:32 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2008/05/19 13:05:32 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2008/05/19 13:01:16 | 000,408,576 | ---- | C] () -- C:\WINDOWS\System32\Smab.dll
[2008/05/19 13:01:15 | 000,502,784 | ---- | C] () -- C:\WINDOWS\x2.64.exe
[2008/05/19 13:01:15 | 000,240,128 | ---- | C] () -- C:\WINDOWS\System32\x.264.exe
[2008/05/19 13:01:15 | 000,217,073 | ---- | C] () -- C:\WINDOWS\meta4.exe
[2008/05/19 13:01:15 | 000,066,560 | ---- | C] () -- C:\WINDOWS\MOTA113.exe
[2008/05/19 13:01:15 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll
[2007/10/08 14:59:01 | 000,000,008 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat
[2007/09/26 15:28:13 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2007/09/10 14:57:19 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI
[2007/08/09 11:43:31 | 000,000,848 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2007/07/31 13:39:34 | 000,000,125 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2007/07/22 12:28:44 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Iris Rosenwald\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007/06/26 13:42:52 | 000,007,680 | ---- | C] () -- C:\WINDOWS\System32\CNMVS64.DLL
[2007/06/26 13:03:02 | 000,001,598 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2007/06/20 16:35:11 | 004,361,232 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007/06/20 11:39:22 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\FileOps.exe
[2007/06/19 19:01:13 | 000,025,088 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2007/06/19 16:41:48 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\locked-addr_file.html.bflh
[2007/06/19 15:55:09 | 000,000,335 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2007/06/19 15:39:15 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007/06/15 05:55:45 | 000,000,146 | ---- | C] () -- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007/06/15 05:48:22 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2007/06/15 05:40:46 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2007/06/15 05:16:02 | 000,001,100 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2007/06/15 05:06:06 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007/06/15 04:59:15 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2007/06/15 04:44:08 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2006/03/13 04:38:08 | 000,000,530 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.ini
[2005/11/11 06:43:28 | 000,172,032 | ---- | C] () -- C:\WINDOWS\System32\libssl32.dll
[2005/11/11 06:43:24 | 000,887,296 | ---- | C] () -- C:\WINDOWS\System32\libeay32.dll
[2004/11/17 05:25:44 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/11/17 05:25:06 | 000,004,571 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/03 19:12:38 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/02 08:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2002/08/29 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2002/08/29 08:00:00 | 000,590,760 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2002/08/29 08:00:00 | 000,525,736 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2002/08/29 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2002/08/29 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2002/08/29 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2002/08/29 08:00:00 | 000,130,692 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2002/08/29 08:00:00 | 000,099,482 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2002/08/29 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2002/08/29 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2002/08/29 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2002/08/29 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2001/07/06 23:00:00 | 000,003,254 | ---- | C] () -- C:\WINDOWS\System32\HPTCPMON.INI
 
========== LOP Check ==========
 
[2010/12/03 15:30:25 | 000,000,000 | ---D | M] -- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Acronis
[2012/02/05 11:32:59 | 000,000,000 | ---D | M] -- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\TeamViewer
[2010/12/24 09:42:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\AceBIT
[2010/12/24 09:42:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\Windows Desktop Search
[2009/12/25 11:47:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Iris Rosenwald\Anwendungsdaten\AceBIT
[2011/06/25 14:11:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Iris Rosenwald\Anwendungsdaten\BabylonToolbar
[2008/08/11 14:09:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Iris Rosenwald\Anwendungsdaten\Thunderbird
[2011/07/17 07:53:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Iris Rosenwald\Anwendungsdaten\tigo-IT
[2010/12/24 16:51:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Iris Rosenwald\Anwendungsdaten\Windows Desktop Search
[2008/04/15 09:52:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\SmartSurfer
[2010/11/01 12:08:29 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\.#
[2011/06/12 06:09:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\00D5A432-E425-447D-9E67-78B8DC10E9DD
[2011/01/29 17:56:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\03ADF8B4-2F4F-4912-903D-271C4B567A8D
[2010/12/02 18:17:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\41F2778A-CF20-4B25-87A3-7192C231FEA2
[2012/02/05 11:27:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\5DDA2B58-939A-4894-B10B-FBE829D0FD3F
[2010/10/28 15:49:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\AceBIT
[2010/04/13 15:13:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Acronis
[2009/07/25 06:03:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Alien Skin
[2011/05/07 02:31:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\BabylonToolbar
[2011/08/07 03:56:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\C3562537-87FD-43E3-85C1-6BD0505DE881
[2011/04/14 12:57:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Canon
[2009/04/09 16:42:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\CD-LabelPrint
[2011/02/18 14:20:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\CF367F84-9F21-4BCF-88FC-5613B0FA26C9
[2009/09/27 08:02:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\com.adobe.ExMan
[2009/09/27 08:49:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\com.adobe.mauby.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1
[2012/03/27 12:54:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\com.dwuser.erwizard.EasyRotatorWizard
[2012/04/24 02:40:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Dropbox
[2012/04/20 14:13:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\FileZilla
[2012/04/24 19:09:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Free Download Manager
[2011/11/18 13:25:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Garmin
[2011/02/16 16:16:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\HDRsoft
[2011/11/30 07:46:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\kompozer.net
[2011/10/26 13:37:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Lasersoft Imaging
[2010/11/03 13:32:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Leadertech
[2012/04/24 14:02:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Ljltcidrhk
[2011/04/06 15:54:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\NewSoft
[2008/01/02 09:53:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\OfficeUpdate12
[2011/02/16 16:34:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Oloneo
[2007/09/24 04:30:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Opera
[2011/11/30 10:31:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Picturenaut
[2007/12/27 07:49:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Quark
[2011/04/06 15:33:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\ScanSoft
[2008/07/10 13:56:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\SmartSurfer
[2009/05/12 01:50:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\T-Online
[2012/02/04 16:03:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\TeamViewer
[2010/10/01 03:45:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Thunderbird
[2010/04/14 09:06:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\tigo-IT
[2009/07/16 16:58:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Weaverslave
[2008/07/10 13:56:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\WEBDE
[2010/12/11 09:16:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Windows Desktop Search
[2010/12/21 17:34:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Windows Search
[2009/07/25 09:15:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AceBIT
[2010/12/03 16:34:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis
[2011/06/26 12:05:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJ
[2011/04/11 13:36:47 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJEGV
[2011/04/11 14:23:23 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJScan
[2012/04/24 15:09:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJSolutionMenu
[2010/11/11 12:38:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DriverBoost
[2008/07/16 14:28:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG
[2011/11/18 13:25:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Garmin
[2012/01/08 11:03:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mquadr.at
[2009/05/13 15:30:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Napster
[2012/04/24 19:09:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Netzmanager
[2012/02/27 09:36:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
[2012/04/24 15:09:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Quark
[2012/04/24 15:09:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RetroExp
[2011/04/06 15:33:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2010/03/18 02:52:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2008/07/10 13:56:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEBDE
[2009/03/25 06:47:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
[2012/04/24 15:10:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3C0AACBF-B491-4BE5-BAF9-AA46E0629E42}
[2010/04/03 19:00:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009/12/26 19:12:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009/06/13 17:08:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[2012/04/24 15:10:04 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{9F3E013D-5CC0-40CE-82C2-47A599C1BC72}
[2012/04/24 15:10:05 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{DD034EDF-8A92-4F84-A64A-26BF9B7AE354}
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011/05/11 13:23:29 | 000,000,000 | ---D | M] -- C:\001_WEB_Sammelsurium
[2012/04/24 15:06:43 | 000,000,000 | ---D | M] -- C:\00_Arbeit
[2012/04/24 15:08:35 | 000,000,000 | ---D | M] -- C:\00_Downloads
[2007/07/09 16:25:36 | 000,000,000 | ---D | M] -- C:\4c9df36911c62e1e0ff330f0a7
[2007/07/09 16:25:04 | 000,000,000 | ---D | M] -- C:\9a6c25600fd861d3308bc0
[2012/04/02 09:15:43 | 000,000,000 | -H-D | M] -- C:\BJPrinter
[2012/04/19 09:35:49 | 000,000,000 | -HSD | M] -- C:\Config.Msi
[2012/04/24 15:08:36 | 000,000,000 | ---D | M] -- C:\cs4german
[2009/07/21 13:21:04 | 000,000,000 | ---D | M] -- C:\Dictionaries
[2010/11/12 11:57:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011/04/03 12:04:35 | 000,000,000 | ---D | M] -- C:\download
[2011/04/16 09:15:30 | 000,000,000 | ---D | M] -- C:\Downloads
[2007/06/15 05:29:53 | 000,000,000 | ---D | M] -- C:\drivers
[2011/01/17 16:37:20 | 000,000,000 | ---D | M] -- C:\HP
[2011/01/20 16:16:20 | 000,000,000 | ---D | M] -- C:\HP CLJ2500
[2010/11/11 15:15:53 | 000,000,000 | ---D | M] -- C:\HP Universal Print Driver PostScript v5.1.1.8283
[2012/03/14 14:18:39 | 000,000,000 | ---D | M] -- C:\Inetpub
[2007/12/12 06:49:39 | 000,000,000 | ---D | M] -- C:\Informationen
[2007/06/15 05:24:36 | 000,000,000 | ---D | M] -- C:\Intel
[2011/01/19 15:15:49 | 000,000,000 | ---D | M] -- C:\lj1079
[2007/06/15 07:02:19 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2009/09/22 09:00:36 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2011/01/18 15:23:58 | 000,000,000 | ---D | M] -- C:\Program Files
[2012/04/23 08:25:55 | 000,000,000 | ---D | M] -- C:\Programme
[2012/02/07 12:38:46 | 000,000,000 | ---D | M] -- C:\PSFONTS
[2008/11/15 15:07:32 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2010/05/27 13:34:02 | 000,000,000 | ---D | M] -- C:\redaxo
[2011/01/02 06:53:42 | 000,000,000 | ---D | M] -- C:\rex-Test
[2010/09/06 14:21:57 | 000,000,000 | ---D | M] -- C:\rex_template
[2011/08/14 05:16:10 | 000,000,000 | ---D | M] -- C:\sarah
[2012/04/25 03:01:06 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011/04/03 12:03:38 | 000,000,000 | ---D | M] -- C:\trust
[2012/04/23 08:26:03 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2012/04/22 13:13:34 | 000,000,000 | ---D | M] -- C:\xampp
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: %LOCALAPPDATA%\*.exe
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: AGP440.SYS  >
[2004/08/03 19:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008/08/21 14:23:11 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2008/08/21 14:23:11 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008/04/13 14:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008/04/13 14:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2004/08/03 19:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008/08/21 14:23:11 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008/08/21 14:23:11 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008/04/13 14:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008/04/13 14:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004/08/03 17:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008/04/13 22:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008/04/13 22:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2009/12/19 18:00:00 | 000,037,520 | ---- | M] (perl.org) MD5=2852D57385C4709EAAE2F9DB01AD3672 -- C:\xampp\perl\site\lib\auto\Win32\EventLog\EventLog.dll
[2004/08/03 18:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: EXPLORER.EXE  >
[2004/08/03 18:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
[2007/06/13 09:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
[2008/04/13 22:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008/04/13 22:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2007/06/13 09:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
 
< MD5 for: IASTOR.SYS  >
[2007/02/06 04:11:32 | 000,247,808 | ---- | M] (Intel Corporation) MD5=294110966CEDD127629C5BE48367C8CF -- C:\WINDOWS\NLDRV\001\iastor.sys
[2007/02/06 04:11:32 | 000,247,808 | ---- | M] (Intel Corporation) MD5=294110966CEDD127629C5BE48367C8CF -- C:\WINDOWS\system32\ReinstallBackups\0015\DriverFiles\iaStor.sys
[2007/02/12 07:37:22 | 000,537,368 | ---- | M] (Intel Corporation) MD5=2EE127D5407DA3957EE54711C9AED6EC -- C:\Programme\Intel\Intel Matrix Storage Manager\Driver64\IaStor.sys
[2004/09/26 10:24:54 | 000,477,952 | ---- | M] (Intel Corporation) MD5=DD19FDD8BB262F64A11C50CC23FC6F70 -- C:\drivers\005_others\controller\INTEL\82801ER\iaStor.sys
[2007/02/12 07:36:54 | 000,277,784 | ---- | M] (Intel Corporation) MD5=FD7F9D74C2B35DBDA400804A3F5ED5D8 -- C:\Programme\Intel\Intel Matrix Storage Manager\Driver\iaStor.sys
[2007/02/12 07:36:54 | 000,277,784 | ---- | M] (Intel Corporation) MD5=FD7F9D74C2B35DBDA400804A3F5ED5D8 -- C:\WINDOWS\system32\drivers\iaStor.sys
 
< MD5 for: NETLOGON.DLL  >
[2008/04/13 22:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008/04/13 22:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004/08/03 18:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
 
< MD5 for: NVATA.SYS  >
[2005/08/18 12:52:06 | 000,093,568 | ---- | M] (NVIDIA Corporation) MD5=0344AA9113DC16EEC379F4652020849D -- C:\drivers\000_chipset\NVIDIA\NF4_AMD\sataide\nvata.sys
 
< MD5 for: NVATABUS.SYS  >
[2005/08/18 12:52:06 | 000,093,568 | ---- | M] (NVIDIA Corporation) MD5=0344AA9113DC16EEC379F4652020849D -- C:\drivers\000_chipset\NVIDIA\NF4_AMD\nvatabus.sys
[2005/08/18 12:52:06 | 000,093,568 | ---- | M] (NVIDIA Corporation) MD5=0344AA9113DC16EEC379F4652020849D -- C:\drivers\000_chipset\NVIDIA\NF4_AMD\sataraid\nvatabus.sys
[2004/01/13 07:36:00 | 000,063,744 | ---- | M] (NVIDIA Corporation) MD5=06F86506555644CBA020CD2CFFE28668 -- C:\drivers\000_chipset\NVIDIA\IDE\NvAtaBus.sys
 
< MD5 for: SCECLI.DLL  >
[2008/04/13 22:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008/04/13 22:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004/08/03 18:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2005/03/02 14:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\$NtUninstallKB925902$\user32.dll
[2007/03/08 11:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2005/03/02 14:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
[2007/03/08 11:48:39 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
[2008/04/13 22:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008/04/13 22:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008/04/13 22:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008/04/13 22:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004/08/03 18:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: VIAMRAID.SYS  >
[2005/06/20 13:53:30 | 000,060,928 | ---- | M] (VIA Technologies inc,.ltd) MD5=0363E216E4EB5052969C96608934DBDE -- C:\drivers\000_chipset\VIA\viamraid.sys
[2004/07/06 17:45:42 | 000,060,672 | ---- | M] (VIA Technologies inc,.ltd) MD5=44056E9FEE477F512EE58BCFEE949621 -- C:\drivers\005_others\controller\VIA\VT6410\viamraid.sys
 
< MD5 for: VIASRAID.SYS  >
[2003/10/31 06:22:38 | 000,077,312 | ---- | M] (VIA Technologies inc,.ltd) MD5=EBE101C01D80A42868F57B327BE1B564 -- C:\drivers\005_others\controller\VIA\VT6420\viasraid.sys
 
< MD5 for: WINLOGON.EXE  >
[2004/08/03 18:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008/04/13 22:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008/04/13 22:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2002/08/29 08:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2002/08/29 08:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2007/06/15 06:38:42 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2007/06/15 06:38:42 | 000,671,744 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2007/06/15 06:38:42 | 000,446,464 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\system32\*.dll /lockedfiles >
[2011/03/03 02:54:43 | 000,149,504 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\dnsapi.dll
[2012/03/02 00:00:10 | 011,082,752 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\ieframe.dll
[2012/03/01 07:00:08 | 002,000,384 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\iertutil.dll
[2008/04/13 22:22:18 | 000,280,064 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\mstask.dll
[2008/04/13 22:22:20 | 000,067,072 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\ntdsapi.dll
[2011/01/21 10:44:10 | 008,503,296 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\shell32.dll
[3 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
Invalid Environment Variable: %USERPROFILE%\*.*
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.dll
 
Invalid Environment Variable: %USERPROFILE%\Application Data\*.exe
< End of report >
--- --- ---
------------------
und jetzt?

markusg 25.04.2012 14:36
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
:OTL
O4 - HKU\Reiner_Rosenwald_ON_C..\Run: [Realtecdriver] C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Realtec\Realtecdriver.exe (THHiq)
O4 - HKU\Reiner_Rosenwald_ON_C..\Run: [BC75221A] C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Ljltcidrhk\5CDBCC0ABC75221A48DD.exe (THHiq)
O4 - HKU\Iris_Rosenwald_ON_C..\Run: [Realtecdriver] C:\Dokumente und Einstellungen\Iris Rosenwald\Anwendungsdaten\Realtec\Realtecdriver.exe (THHiq)
O4 - HKU\Iris_Rosenwald_ON_C..\Run: [BC75221A] C:\WINDOWS\system32\CB6E3819BC75221AB5F4.exe (THHiq)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Reiner_Rosenwald_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Reiner_Rosenwald_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\CB6E3819BC75221AB5F4.exe) - C:\WINDOWS\system32\CB6E3819BC75221AB5F4.exe (THHiq)
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found

:Files
C:\Dokumente und Einstellungen\Reiner Rosenwald\Anwendungsdaten\Realtec\Realtecdriver.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.

irm 25.04.2012 15:29
Hi Markus,
was lange währt, wir endlich gut!
Super - vielen Dank!
Windows neu gestartet, scheint wieder zu funktionieren... habe noch nicht alles ausprobiert.
Zur Zeit konfiguriert sich der Acrobat neu, das kann dauern.
Frage, wo finde ich den otl.txt File?
Die Mail des Grauens schicke ich dir auch noch.
Ihr seid Spitze!
Gruss aus dem Schwarzwald
Reiner

markusg 25.04.2012 15:30
kurze rückfrage, sind deine dateien verschlüsselt, text dokumente zb? oder kannst du alles öffnen?
danke für die mail

irm 25.04.2012 16:52
Hi Markus,
also anscheinend kann ich alle Programme starten, jedoch sind auf C:, G: und H: unheimlich viele Dateien gelocked.
Schlimmer mein Backup-Laufwerk E: da sind alle Dateien gelocked (da läuft mein tägliches Backup - Acronis - das heißt ich kann kein restore ausführen)
Was soll ich jetzt machen - jetzt ist gutes Rad teuer.
Gruß
Reiner

markusg 25.04.2012 17:00
kann dir da momentan noch nicht helfen, wartenoch auf rückmeldungen, ob und was da zu tun ist.
auf jeden fall, finger weg von den dateien, keine selbstversuche :-)

irm 25.04.2012 17:07
OK - ich hoffe es gibt eine Lösung. Sonst habe ich mein gesamtes Bildarchiv mit ca. 5000 Bildern verloren

irm 27.04.2012 09:57
Hi, die Mail mit der Anzeige bei der Staatsanwaltschaft Frankfurt habe ich bereits weitergeleitet.
Hier mal das Log von Malwarebytes:

(Anfang)

Malwarebytes Anti-Malware (Test) 1.61.0.1400
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.04.26.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Reiner ****** :: DELPHIN [Administrator]

Schutz: Aktiviert

26.04.2012 19:05:01
mbam-log-2012-04-26 (19-05-01).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 649516
Laufzeit: 6 Stunde(n), 52 Minute(n), 16 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Realtecdriver (Backdoor.Agent) -> Daten: C:\Dokumente und Einstellungen\Reiner ******\Anwendungsdaten\Realtec\Realtecdriver.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> Daten: 1 -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 4
C:\Dokumente und Einstellungen\All Users\Dokumente\Transit\Wordpress-Plugins\slideshows\slideshow-Progs\SoftonicDownloader_fuer_flash-slide-show-maker-professional.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Reiner ******\Eigene Dateien\Downloads\SoftonicDownloader_fuer_transmac.exe (PUP.OfferBundler.ST) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\_OTL\MovedFiles\04252012_180356\C_WINDOWS\system32\CB6E3819BC75221AB5F4.exe (Malware.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Für weitere Hilfe immer dankbar

markusg 27.04.2012 10:28
hi,
ich wollte die mail bitte wie folgt, im mail programm auswählen, datei speichern unter, irgendwo abspeichern wo du sie wieder findest, dann die datei an deine mail anhängen.
wenn du einen webmailer nutzt, sag mir mal welchen, damit ich dir sagen kann wie du an den mail header kommst.

irm 28.04.2012 15:42
Hi,
mein Rechner läuft, die Dateien sind repariert, die verschlüsselten Dateien auf einem separaten Laufwerk gesichert
Hier als Anhang:
attach.txt
dds.txt
gmer.txt

markusg 28.04.2012 17:10
hi
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

irm 29.04.2012 09:30
Hi,
ComboFix ist durch.
Die Datei habe ich angehängt.
Trotzdem wünsche ich einen schönen Sonntag

markusg 29.04.2012 16:40
noch probleme mit dem system festzustellen?
öffne malwarebytes, logdateien poste alle berichte

irm 29.04.2012 17:26
Nein!
Verstehe ich richtig, dass ich "malwarebytes" nochmal über die Festplatte laufen lassen soll?

irm 29.04.2012 18:18
Also ich habe mal den ersten Logfile vom 24.4.
und den von heute 29.4., der nach der Bearbeitung von Combofix erstellt wurde angehängt.
Bei der Bearbeitung durch ComboFix hat sich ein Programm zur Installation gemeldet "Smart File Advisor", da ich dachte ComboFix will dieses Programm habe ich der Installation zugestimmt.
War das nötig, brauche ich das Prog und wenn ja für was?


Sorry, war de 26.4.

irm 30.04.2012 13:28
...ich will ja nicht drängeln, aber langsam bekomme ich PANIK.
An meinem Hauptrechner meldet AVIRA praktisch alle halbe Stunde den TR/Trash.Gen
...bitte um weiterer Vorgehensweise, ich habe bis jetzt die Admin-Anweisungen Punkt für Punkt befolgt und bin definitiv gut damit gefahren.
Der Rechner ist sauber - natürlich ist mir klar, dass er irgendwei noch korrumpiert ist
...muss ich den Rechner neu aufsetzen?

Avira-Log hängt an

markusg 30.04.2012 17:16
hi, ist combofix durchgelaufen?

irm 30.04.2012 17:20
ja, siehe Post 14 ff

markusg 30.04.2012 17:24
ok die beiden logs sind die einzigen, oder gibts mehr mit funden?

irm 30.04.2012 17:29
im Moment hat Avira den TR/Drop.Softomat.AN und vorher den TR/Trash.Gen gefunden.
Ich bin am rotieren.

ich habe den Desktop Rechner vom Internet abgehängt - das ist offensichtlich ein offenes Scheunentor.
Meine Daten habe ich entschlüsselt, soll ich den Rchner platt machen und neu aufsetzen.
Als ich Acronis installiert habe, habe ich mir eine Bootdisc erstellt.

irm 01.05.2012 01:25
Kann jetzt erst posten der Avira-Scan hat über 4 Stunden gedauert.
hier das Ergebnis:

markusg 01.05.2012 10:46
rechtsklick arbeitsplatz, eigenschaften, systemwiederherstellung, auf allen laufwerken deaktivieren, bestätigen, übernehmen ok.
5 min warten, pc neustarten, wieder einschalten.

lade den CCleaner standard:
CCleaner Download - CCleaner 3.18.1707
falls der CCleaner
bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

irm 01.05.2012 11:15
Wieder einschalten -soll das heißen "systemwiederherstellung" wieder aktivieren?

irm 01.05.2012 12:45
So hier der bearbeitete Logfile von CCleaner
bin gespannt, wie es weiter geht...

markusg 01.05.2012 17:50
deinstaliere:
ArcSoft : beide
Babylon
Bonjour
Business
CrossFont
Free Download
iTunes
Java(TM) 6 Update 7
PowerDVD
Ranking
REDAXOWinstaller
ReNo
VideoLAN
WISE

öffne ccleaner, analysieren, ccleaner starten, pc neustarten testen wie das gerät läuft

irm 01.05.2012 18:30
es kommt eine Fehlermeldung:
SQLDUMPER Library failed initialization.
-----------------
Your installation is either corrupt or has been tampered with. Please uninstall then re-run setup to correct this problem.
-----------------
Nur ich finde nicht wo ich das deinstallieren soll!

markusg 02.05.2012 12:15
na gott sei dank habe ich dir mindestens 5 programme genannt die zu deinstalieren sind, da ists ja auch gar nicht schwierig zu erraten, welche instalation da die probleme macht...

irm 02.05.2012 12:39
Zitat:
Zitat von markusg (Beitrag 823042)
na gott sei dank habe ich dir mindestens 5 programme genannt die zu deinstalieren sind, da ists ja auch gar nicht schwierig zu erraten, welche instalation da die probleme macht...
... und welches programm oder Teil-Programm ist es denn nun?

markusg 02.05.2012 16:53
weis ich doch nicht, du sitzt doch am pc und deinstalierst.
woher soll ich also wissen wann diese meldung auftritt

irm 03.05.2012 16:21
Zitat:
Zitat von markusg (Beitrag 823235)
weis ich doch nicht, du sitzt doch am pc und deinstalierst.
woher soll ich also wissen wann diese meldung auftritt
Hallo Markus,
nach langem Überlegen ein kurze Antwort auf diese Post.
Bei allem Respekt vor eurer Arbeit, besonders Matkuni und daGuru, wo bleibt hier die sogenannte "nettiquette"?
Wer lesen kann hat die Macht!
- ich habe alles soweit ich es verstehe in vorhergehenden Posts beschrieben - kurz und bündig!
Ich bin der Überzeugung, dass du meine vorangegangenen Posts entweder gar nicht gelesen oder nur überflogen hast.
Ich denke, ich bin ein Kollateralschaden abgeputzt und fertig.

Der gute Eindruck von diesem Board hat sich damit relativiert.
Schade!
Reiner

markusg 03.05.2012 16:52
ich schreibe:
Zitat:
Zitat von markusg (Beitrag 822699)
deinstaliere:
ArcSoft : beide
Babylon
Bonjour
Business
CrossFont
Free Download
iTunes
Java(TM) 6 Update 7
PowerDVD
Ranking
REDAXOWinstaller
ReNo
VideoLAN
WISE

öffne ccleaner, analysieren, ccleaner starten, pc neustarten testen wie das gerät läuft
du schreibst:
Zitat:
Zitat von irm (Beitrag 822740)
es kommt eine Fehlermeldung:
SQLDUMPER Library failed initialization.
-----------------
Your installation is either corrupt or has been tampered with. Please uninstall then re-run setup to correct this problem.
-----------------
Nur ich finde nicht wo ich das deinstallieren soll!

wo steht da bei welchen der von mir genannten programme die fehlermeldung kommt, dass wüsste ich gern.

irm 03.05.2012 21:53
Hi,
nochmal, ich habe die o.g. Progs deinstalliert.
Dann entsprechend deiner Anweisung (siehe letzte Zeile Zitat):
öffne ccleaner, analysieren, ccleaner starten, pc neustarten testen wie das gerät läuft

Nach dem Neustart von Windows kam diese Fehlermeldung (siehe deine Anweisung):
.... pc neustarten testen wie das gerät läuft....
mit anderen Worten, dieser Fehler kommt nicht bei der Deinstallation oder beim Durchlauf von CCleaner sondern nach dem Neustart von Windows.

Aber was solls, ich habe meine Daten wieder, den Rechner neu aufgesetzt und gut ist es.
Ich habe mich nur über den Ton geschabt und dass ich hier abgeputzt wurde.

Tatsache ist der Mist geht weiter es kommen laufend neue ominöse Mails.

markusg 04.05.2012 11:41
hi,
dann habe ich das missverstanden und entschuldige mich dafür.
bitte die mails weiterleiten an mich, denn es scheint ne neue variannte unterwegs zu sein, anhand derer es nicht mehr funktioniert, mit pärchen zu entschlüsseln.

irm 04.05.2012 11:57
Akzeptiert!
Bei dem Stress kann das passieren.
Im Anhang die Stress-Mail von gestern.
Heute kam noch nichts.


Schau dir mal die Postleitzahl von Potsdam an

7XXXX befindet sich in Baden-Württemberg

markusg 04.05.2012 17:35
niemals nicht anhänge mit malware ins forum :-)
das kann sonst jeder downloaden, danke für dein verständniss.
Trojaner-Board Upload Channel
ist zb dafür da, oder meine mail adresse.
ja, die daten sind alle komplett durcheinander gewürfelt :p
aber scheinen ja trotzdem erfolgreich zu sein...

irm 04.05.2012 17:49
Oh Sch.......
Bin total übernächtigt, sorry...
soll ich die Mail an deine Adresse schicken?

markusg 04.05.2012 17:55
die nicht mehr, hab sie schon geladen, weitere ja :-)

irm 04.05.2012 18:16
Gerade kam noch mal was, das wurde aber von Avira schmerzlos getötet.
Wenn wieder was durchgeht, schick ich es und diesmal korrekt.

markusg 04.05.2012 19:22
ja, avira hat extra mit dem update der sogenannten engine, also der generic gewartet um noch was speziell für diese malware einzubauen.
obwohl ich nicht glaube das das lange halten wird...

irm 05.05.2012 08:26
glaub ich auch.
Egal welches Virenprogramm - die können immer nur reagieren, niemals agieren.
Deshalb auf der Hut bleiben und das Board beobachten...


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131