Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Windows/Verschluesselungstrojaner WinXP *100 Euro Paysafe / 50 Euro Ucash (https://www.trojaner-board.de/114535-windows-verschluesselungstrojaner-winxp-100-euro-paysafe-50-euro-ucash.html)

caprica 02.05.2012 11:48
Windows/Verschluesselungstrojaner WinXP *100 Euro Paysafe / 50 Euro Ucash
 
Hallo. Mein Windows XP ist mit einem 'Windows Verschluesselungstrojaner' befallen. Booten im abgesicherten Modus ist nicht moeglich. Alle Anmeldeversuche enden mit einer Bildschirmsperre und der Trojanermeldung, plus der Aufforderung 100 Euro bzw. 50 Euro mit Paysafecard oder Ucash yu ueberweisen.

Einen Scan mit Antimalware von einem anderen Rechner im Netzwerk aus ist mir nicht gelungen.

Ich habe wie in post
http://www.trojaner-board.de/114103-...strojaner.html

beschrieben ReadyToGo auf dem anderen (Win7) rechner entpackt, gebrannt und den infizierten gebootet.

Beim Fix habe ich den Account des Users angegeben, der den rechner braucht.

in die Textbox habe ich die Daten wie im oben genannten Post reinkopiert.

hier ist das Ergebnis des Otl Logfiles nach dem Scan

Code:
OTL logfile created on: 5/2/2012 2:06:57 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,022.00 Mb Total Physical Memory | 805.00 Mb Available Physical Memory | 79.00% Memory free
906.00 Mb Paging File | 842.00 Mb Available in Paging File | 93.00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39.06 Gb Total Space | 19.24 Gb Free Space | 49.25% Space Free | Partition Type: NTFS
Drive D: | 72.73 Gb Total Space | 33.93 Gb Free Space | 46.66% Space Free | Partition Type: NTFS
Drive E: | 488.00 Mb Total Space | 285.03 Mb Free Space | 58.41% Space Free | Partition Type: FAT
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010/03/04 17:38:00 | 000,071,096 | ---- | M] () [Auto] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2009/03/27 03:37:04 | 003,519,336 | ---- | M] (CANON INC.) [Auto] -- C:\Programme\Canon\DIAS\CnxDIAS.exe -- (Canon Driver Information Assist Service)
SRV - [2009/02/25 13:18:14 | 000,425,080 | ---- | M] (Emsi Software GmbH) [Auto] -- C:\Programme\a-squared Free\a2service.exe -- (a2free)
SRV - [2007/12/19 20:04:00 | 000,364,544 | ---- | M] (AVM Berlin) [Auto] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service)
SRV - [2007/11/05 09:28:10 | 000,204,915 | ---- | M] (Option) [Auto] -- C:\Programme\T-Mobile\web'n'walk Manager\GtDetectSc.exe -- (GtDetectSc)
SRV - [2007/02/27 11:55:42 | 000,217,152 | ---- | M] (Steganos GmbH) [Auto] -- C:\Programme\Steganos Internet Security 2007\avp.exe -- (AVP)
SRV - [2005/04/15 11:16:16 | 000,053,248 | ---- | M] (Prolific Technology Inc.) [Auto] -- C:\Programme\Softland\Backup4all 3\IoctlSvc.exe -- (PLFlash DeviceIoControl Service)
SRV - [2003/07/28 01:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2009/11/12 09:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2008/04/13 14:46:22 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE)
DRV - [2007/12/19 20:04:00 | 000,265,088 | ---- | M] (AVM GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2007/09/10 07:09:20 | 000,022,016 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2007/09/10 07:09:18 | 000,053,504 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2007/07/09 09:17:36 | 000,095,744 | ---- | M] (Option NV) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Gt51Ip.sys -- (GT72NDISIPXP)
DRV - [2007/06/26 08:38:46 | 000,051,968 | ---- | M] (Option N.V.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\gt72ubus.sys -- (GT72UBUS)
DRV - [2007/06/14 11:41:58 | 004,429,312 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007/03/30 08:38:14 | 000,008,064 | ---- | M] (Option N.V.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\gtptser.sys -- (GTPTSER)
DRV - [2007/01/27 12:52:46 | 000,175,888 | ---- | M] (Kaspersky Lab) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\klif.sys -- (KLIF)
DRV - [2007/01/25 20:00:00 | 000,004,352 | ---- | M] (AVM Berlin) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject)
DRV - [2006/08/12 20:52:18 | 000,334,976 | R--- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\USBAV191.SYS -- (USBAV191)
DRV - [2006/04/13 09:33:28 | 000,008,192 | ---- | M] (BIOSTAR Group) [Kernel | System] -- C:\WINDOWS\system32\drivers\BS_I2cIo.sys -- (BS_I2cIo)
DRV - [2006/03/27 12:53:28 | 000,167,808 | ---- | M] (NETGEAR Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wg111v2.sys -- (RTLWUSB)
DRV - [2006/02/21 15:46:26 | 001,505,792 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005/03/16 02:23:54 | 000,013,696 | ---- | M] (BIOSTAR Group) [Kernel | System] -- C:\WINDOWS\system32\drivers\BIOS.sys -- (BIOS)
DRV - [2004/10/25 08:40:58 | 000,017,664 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ZDPSp50.sys -- (ZDPSp50)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Konto_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\NewLimes_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.babylon.com/?babsrc=HP_ss&affID=100474&mntrId=d4e4a75800000000000000e04d5cb568
IE - HKU\NewLimes_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\Zukunft2013_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\NewLimes\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\NewLimes\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Dokumente und Einstellungen\NewLimes\Lokale Einstellungen\Anwendungsdaten\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
 
 
[2010/01/12 11:14:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\mozilla\Extensions
[2012/04/27 07:20:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\mozilla\Firefox\Profiles\b0tce4mx.default\extensions
[2012/05/02 03:11:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\mozilla\Firefox\Profiles\b0tce4mx.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}(2)
[2011/09/16 04:43:35 | 000,000,000 | ---D | M] (Babylon) -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\mozilla\Firefox\Profiles\b0tce4mx.default\extensions\ffxtlbr@babylon.com
[2012/05/02 03:19:39 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011/03/08 10:29:15 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011/09/16 04:43:22 | 000,002,288 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\babylon.xml
 
O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.35.10\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof1.dll (Conduit Ltd.)
O3 - HKU\Admin_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof1.dll (Conduit Ltd.)
O3 - HKU\NewLimes_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof1.dll (Conduit Ltd.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AVP] C:\Programme\Steganos Internet Security 2007\avp.exe (Steganos GmbH)
O4 - HKLM..\Run: [Backup4all 3 OTB Agent] C:\Programme\Softland\Backup4all 3\B4aOTB.exe (Softland)
O4 - HKLM..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [MFNetworkScanUtility] C:\Programme\Canon\Canon MF Network Scan Utility\CNMFSUT.EXE (CANON INC.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
O4 - HKU\Admin_ON_C..\Run: [Backup4all 3] C:\Programme\Softland\Backup4all 3\Backup4all.exe (Softland)
O4 - HKU\Admin_ON_C..\Run: [Backup4all OTB Agent] C:\Programme\Softland\Backup4all 3\b4aOTB.EXE (Softland)
O4 - HKU\Admin_ON_C..\Run: [D4E4A758] C:\WINDOWS\system32\46AF25C3D4E4A7587805.exe ()
O4 - HKU\Admin_ON_C..\Run: [Google Update]  File not found
O4 - HKU\NewLimes_ON_C..\Run: [D4E4A758] C:\WINDOWS\system32\46AF25C3D4E4A7587805.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\The Personal FTP Server.lnk = C:\Programme\PFTP\PFtp.exe (MRSoft)
O4 - Startup: C:\Dokumente und Einstellungen\NewLimes\Startmenü\Programme\Autostart\Microsoft Office Outlook 2003.lnk = C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\NewLimes\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Konto_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NewLimes_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NewLimes_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\NewLimes_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Zukunft2013_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Steganos Internet Security 2007\ie_banner_deny.htm ()
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\PROGRA~1\STEGAN~1\adialhk.dll) - C:\Programme\Steganos Internet Security 2007\adialhk.dll (Kaspersky Lab)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\46AF25C3D4E4A7587805.exe) - C:\WINDOWS\system32\46AF25C3D4E4A7587805.exe ()
O20 - HKLM Winlogon: GinaDLL - (RtlGina2.dll) - C:\WINDOWS\System32\RtlGina2.dll ()
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\klogon: DllName - C:\WINDOWS\system32\klogon.dll - C:\WINDOWS\system32\klogon.dll (Steganos GmbH)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/03/18 13:08:21 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{46777c8b-1be4-11e0-92af-00e04d5cb568}\Shell - "" = AutoRun
O33 - MountPoints2\{46777c8b-1be4-11e0-92af-00e04d5cb568}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{46777c8b-1be4-11e0-92af-00e04d5cb568}\Shell\AutoRun\command - "" = F:\setup.exe AUTORUN=1
O33 - MountPoints2\{59d042b3-4b7d-11df-91ea-00e04d5cb568}\Shell - "" = AutoRun
O33 - MountPoints2\{59d042b3-4b7d-11df-91ea-00e04d5cb568}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{59d042b3-4b7d-11df-91ea-00e04d5cb568}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SYSTEM.EXE
O33 - MountPoints2\{59d042b3-4b7d-11df-91ea-00e04d5cb568}\Shell\explore\command - "" = SYSTEM.EXE
O33 - MountPoints2\{59d042b3-4b7d-11df-91ea-00e04d5cb568}\Shell\OpEn\ComMaNd - "" = SYSTEM.EXE
O33 - MountPoints2\{6e52aadd-4682-11e0-92e0-00e04d5cb568}\Shell - "" = AutoRun
O33 - MountPoints2\{6e52aadd-4682-11e0-92e0-00e04d5cb568}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6e52aadd-4682-11e0-92e0-00e04d5cb568}\Shell\AutoRun\command - "" = F:\pushinst.exe
O33 - MountPoints2\{b4c100e0-898e-11df-9221-00e04d5cb568}\Shell - "" = AutoRun
O33 - MountPoints2\{b4c100e0-898e-11df-9221-00e04d5cb568}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b4c100e0-898e-11df-9221-00e04d5cb568}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SYSTEM.EXE
O33 - MountPoints2\{b4c100e0-898e-11df-9221-00e04d5cb568}\Shell\explore\command - "" = SYSTEM.EXE
O33 - MountPoints2\{b4c100e0-898e-11df-9221-00e04d5cb568}\Shell\OpEn\ComMaNd - "" = SYSTEM.EXE
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MSI US54SE 802.11b+g USB Stick Utility.lnk - C:\Programme\MSI\US54SE_Utility\ZDWlan.exe - ()
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NETGEAR WG111v2 Smart Wizard.lnk - C:\Programme\NETGEAR\WG111v2\WG111v2.exe - ()
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^web'n'walk Manager.lnk - C:\Programme\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe - (T-Mobile)
MsConfig - StartUpReg: AVMWlanClient - hkey= - key= - C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin GmbH)
MsConfig - StartUpReg: IndexSearch - hkey= - key= - C:\Programme\ScanSoft\PaperPort\IndexSearch.exe (ScanSoft, Inc.)
MsConfig - StartUpReg: SkyTel - hkey= - key= - C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/05/02 12:12:34 | 002,237,440 | R--- | C] (OldTimer Tools) -- C:\OTLPE.exe
[2012/05/02 12:05:31 | 000,000,000 | ---D | C] -- C:\_OTL
[2012/05/02 02:53:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Rrrrrrrrrr
[2012/04/20 12:59:11 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Brother
[2012/04/20 12:48:46 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Admin\PrivacIE
[2012/04/20 12:48:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\BabylonToolbar
[2012/04/20 10:37:02 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Musik
[2012/04/20 10:37:02 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Bilder
[2012/04/20 10:37:02 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Admin\IETldCache
 
========== Files - Modified Within 30 Days ==========
 
[2012/05/02 06:42:00 | 000,084,000 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2012/05/02 06:42:00 | 000,001,210 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-682003330-1788223648-725345543-1004UA.job
[2012/05/02 06:22:02 | 000,489,248 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/05/02 06:22:02 | 000,466,352 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/05/02 06:22:02 | 000,097,252 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/05/02 06:22:02 | 000,081,184 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/05/02 06:22:02 | 000,001,312 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.dat
[2012/05/02 06:21:05 | 000,002,619 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Startmenü\Programme\Autostart\Microsoft Office Outlook 2003.lnk
[2012/05/02 06:21:01 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/02 06:17:56 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/05/02 06:17:04 | 000,001,074 | ---- | M] () -- C:\WINDOWS\pftp.ini
[2012/05/02 03:53:00 | 000,001,222 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-682003330-1788223648-725345543-1007UA.job
[2012/05/02 03:30:13 | 000,000,032 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.idx
[2012/05/02 03:30:12 | 000,000,032 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2012/05/02 03:19:23 | 000,585,728 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Eigene Dateien\locked-Thumbs.td4.yynn
[2012/05/02 03:19:23 | 000,008,877 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Eigene Dateien\locked-Thumbs.tdo.zzzz
[2012/05/02 03:19:22 | 000,029,460 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Eigene Dateien\locked-tanke.csv.hhhh
[2012/05/02 03:19:18 | 000,000,031 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Eigene Dateien\locked-petite fleur.map.ssss
[2012/05/02 03:19:17 | 000,000,670 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Eigene Dateien\locked-kontakte.csv.uunn
[2012/05/02 03:13:48 | 000,152,868 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-Zürich Versicherung 3.pdf.phhh
[2012/05/02 03:13:48 | 000,149,906 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-Zürich Versicherung 2.pdf.bbmm
[2012/05/02 03:13:48 | 000,099,767 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-Zürich Versicherung 4.pdf.fvvv
[2012/05/02 03:13:47 | 000,492,421 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-VBG Unterlagen.pdf.gooo
[2012/05/02 03:13:47 | 000,229,219 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-VBG Unfallversicherung.pdf.wsss
[2012/05/02 03:13:47 | 000,098,723 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-Zürich Versicherung 1.pdf.zzyy
[2012/05/02 03:13:47 | 000,091,221 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-Zusatz zum Arbeitsvertrag.pdf.qppp
[2012/05/02 03:12:52 | 000,076,379 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-orange.jpg.llxx
[2012/05/02 03:10:50 | 000,000,079 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\locked-Desktop anzeigen.scf.xvvv
[2012/05/02 03:10:28 | 000,000,926 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\locked-.recently-used.xbel.ttee
[2012/05/02 03:10:19 | 015,772,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Konto\Desktop\locked-gimp-2.6.2-i686-setup.exe.hppp
[2012/05/02 03:10:19 | 007,341,232 | ---- | M] () -- C:\Dokumente und Einstellungen\Konto\Desktop\locked-Firefox Setup 3.0.4.exe.wwll
[2012/05/02 03:10:15 | 000,000,079 | ---- | M] () -- C:\Dokumente und Einstellungen\Konto\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\locked-Desktop anzeigen.scf.jlll
[2012/05/02 02:54:11 | 025,779,166 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\locked-Drive_C.xml.annn
[2012/05/02 02:54:10 | 025,571,334 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-Sarahs Fahrtkosten 1_von 4.bmp.wrrr
[2012/05/02 02:54:10 | 004,043,367 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-tipp10_win_v2-0-3.exe.syyy
[2012/05/02 02:54:10 | 000,767,771 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-pci_clonemaxx.exe.quuu
[2012/05/02 02:54:09 | 025,571,334 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-Erlaubnis für die Durchführung einer Veranstaltung 3 von 7.bmp.hhhh
[2012/05/02 02:54:09 | 025,571,334 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-Erlaubnis für die Durchführung einer Veranstaltung 2 von 7.bmp.ffff
[2012/05/02 02:54:09 | 025,571,334 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-Erlaubnis für die Durchführung einer Veranstaltung 1 von 7.bmp.kzzz
[2012/05/02 02:54:09 | 005,845,160 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-34033.rar.fiii
[2012/05/02 02:54:09 | 001,766,443 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-dixmlsetup202.exe.fooo
[2012/05/02 02:54:09 | 001,268,353 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-InstallRarZilla.exe.hppp
[2012/05/02 02:53:52 | 000,000,079 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\locked-Desktop anzeigen.scf.qddd
[2012/05/02 02:53:43 | 018,846,619 | ---- | M] () -- C:\locked-Canisisus.zip.tttt
[2012/05/02 02:53:00 | 000,001,170 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-682003330-1788223648-725345543-1007Core.job
[2012/05/02 02:52:08 | 000,054,784 | -H-- | M] () -- C:\WINDOWS\System32\46AF25C3D4E4A7587805.exe
[2012/04/30 11:29:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/04/30 11:29:30 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/04/30 11:28:00 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/04/30 11:26:42 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/04/27 07:13:36 | 000,000,473 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2012/04/26 12:38:10 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325
[2012/04/26 12:37:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/04/26 10:42:00 | 000,001,158 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-682003330-1788223648-725345543-1004Core.job
[2012/04/25 06:31:13 | 000,003,339 | ---- | M] () -- C:\WINDOWS\wincmd.ini
[2012/04/25 06:28:41 | 000,000,302 | ---- | M] () -- C:\WINDOWS\wcx_ftp.ini
[2012/04/25 06:28:15 | 000,002,533 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\Microsoft Office FrontPage 2003.lnk
[2012/04/20 10:43:53 | 000,002,371 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Google Chrome.lnk
[2012/04/20 10:43:53 | 000,002,349 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
[2012/04/20 10:37:04 | 000,000,802 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2012/04/11 11:11:17 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
 
========== Files Created - No Company Name ==========
 
[2012/05/02 03:30:13 | 000,001,312 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox2.dat
[2012/05/02 03:30:13 | 000,000,032 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox2.idx
[2012/05/02 03:30:12 | 000,084,000 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2012/05/02 03:30:12 | 000,000,032 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2012/05/02 02:53:31 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/05/02 02:53:31 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/02 02:53:31 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/02 02:53:31 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/02 02:53:31 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/02 02:53:31 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/05/02 02:52:08 | 000,054,784 | -H-- | C] () -- C:\WINDOWS\System32\46AF25C3D4E4A7587805.exe
[2012/04/27 06:01:23 | 000,091,221 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-Zusatz zum Arbeitsvertrag.pdf.qppp
[2012/04/25 03:20:05 | 000,492,421 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-VBG Unterlagen.pdf.gooo
[2012/04/23 10:00:29 | 000,229,219 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-VBG Unfallversicherung.pdf.wsss
[2012/02/16 03:37:33 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/02/08 05:01:18 | 000,000,926 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\locked-.recently-used.xbel.ttee
[2011/11/23 06:53:05 | 000,000,323 | ---- | C] () -- C:\WINDOWS\System32\CNCMFP36.INI
[2011/10/17 04:33:02 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\Lfkodak.dll
[2011/10/17 04:33:01 | 000,338,944 | ---- | C] () -- C:\WINDOWS\System32\Lffpx7.dll
[2011/10/17 04:33:01 | 000,088,576 | ---- | C] () -- C:\WINDOWS\System32\Lffpx90n.dll
[2011/09/16 04:57:11 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2011/05/18 04:46:10 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011/05/05 05:59:55 | 000,009,374 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Kommagetrennte Werte (Windows).EML
[2011/03/30 04:16:46 | 000,000,302 | ---- | C] () -- C:\WINDOWS\wcx_ftp.ini
[2011/03/30 04:14:32 | 000,003,339 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2010/10/07 11:46:38 | 000,002,437 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Thumbs.ini
[2010/09/03 06:28:31 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2010/09/03 06:28:31 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2010/03/18 13:25:03 | 000,005,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/03/18 13:24:21 | 000,334,976 | R--- | C] () -- C:\WINDOWS\System32\drivers\USBAV191.SYS
[2010/03/18 13:24:03 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2010/02/08 13:54:02 | 000,013,013 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Kommagetrennte Werte (Windows).CAL
[2010/01/14 03:41:31 | 000,039,936 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/01/12 12:08:53 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_START.INI
[2009/11/06 08:41:16 | 000,008,521 | ---- | C] () -- C:\WINDOWS\lmpcl2a.ini
[2009/11/03 04:38:26 | 000,001,488 | ---- | C] () -- C:\Dokumente und Einstellungen\Zukunft2013\.recently-used.xbel
[2009/09/28 08:55:47 | 000,001,074 | ---- | C] () -- C:\WINDOWS\pftp.ini
[2009/02/03 11:36:42 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2008/09/15 08:49:52 | 000,001,144 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2008/09/15 08:49:50 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2008/07/23 03:22:19 | 000,000,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Zukunft2013\Lokale Einstellungen\Anwendungsdaten\d3d9caps.dat
[2008/05/07 04:11:00 | 000,001,781 | ---- | C] () -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\Thumbs.ini
[2008/04/15 10:00:33 | 000,007,168 | ---- | C] () -- C:\Dokumente und Einstellungen\Zukunft2013\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/04/08 12:51:54 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2008/03/27 06:29:17 | 000,000,056 | ---- | C] () -- C:\WINDOWS\BO9420CN.INI
[2008/03/26 01:17:25 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\ZyDelReg.exe
[2008/03/26 01:17:23 | 000,015,872 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD64.DLL
[2008/03/26 01:17:22 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD.dll
[2008/03/17 05:04:45 | 000,000,552 | ---- | C] () -- C:\Dokumente und Einstellungen\Zukunft2013\Lokale Einstellungen\Anwendungsdaten\d3d8caps.dat
[2008/03/17 03:20:24 | 000,000,000 | ---- | C] () -- C:\Programme\error.dat
[2008/03/17 03:03:22 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\brss01a.ini
[2008/03/17 03:03:21 | 000,000,473 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2008/03/17 03:03:21 | 000,000,026 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2008/03/17 03:02:27 | 000,000,820 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2008/03/17 03:02:27 | 000,000,147 | ---- | C] () -- C:\WINDOWS\brpcfx.ini
[2008/03/17 03:02:27 | 000,000,065 | ---- | C] () -- C:\WINDOWS\System32\bd9420cn.dat
[2008/03/17 03:01:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brdfxspd.dat
[2008/03/17 03:01:42 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2008/03/17 03:00:26 | 000,027,114 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2008/03/17 02:17:42 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/03/16 15:54:46 | 000,001,732 | ---- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2008/03/16 15:52:48 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2008/03/16 15:04:01 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008/03/16 14:59:17 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/03/16 14:28:26 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008/03/16 14:27:26 | 000,240,736 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008/03/16 10:05:04 | 000,101,287 | ---- | C] () -- C:\WINDOWS\System32\drivers\klin.dat
[2008/03/16 10:05:04 | 000,089,601 | ---- | C] () -- C:\WINDOWS\System32\drivers\klick.dat
[2008/03/16 09:47:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2007/12/19 20:04:00 | 000,097,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin
[2007/01/29 18:09:14 | 000,023,196 | ---- | C] () -- C:\WINDOWS\System32\drivers\klop.dat
[2006/05/03 12:44:32 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\RtlGina2.dll
[2006/02/13 08:29:26 | 000,121,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2005/01/17 03:10:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\BRTCPCON.DLL
[2004/08/09 21:00:42 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\BRLMW03A.INI
[2004/08/04 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 08:00:00 | 000,489,248 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/04 08:00:00 | 000,466,352 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 08:00:00 | 000,097,252 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/04 08:00:00 | 000,081,184 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003/02/20 02:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002/03/04 05:16:34 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Jpeg32.dll
[1996/04/03 15:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys
 
========== LOP Check ==========
 
[2012/04/20 12:48:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\BabylonToolbar
[2012/05/02 02:53:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\muvee Technologies
[2011/04/29 01:54:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PriceGong
[2008/05/07 04:13:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ThumbsPlus
[2008/03/17 00:35:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Thunderbird
[2011/02/07 12:31:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Unity
[2012/05/02 03:10:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Babylon
[2011/09/29 03:12:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\BabylonToolbar
[2010/10/12 01:40:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Canneverbe Limited
[2011/11/24 11:14:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Canon
[2011/09/13 05:38:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\gtk-2.0
[2011/09/16 04:57:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\pdfforge
[2011/03/23 08:47:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\PriceGong
[2012/05/02 02:53:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Rrrrrrrrrr
[2010/01/13 10:53:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\ScanSoft
[2010/12/06 05:49:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\SmartTools
[2012/05/02 03:11:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\ThumbsPlus
[2009/11/03 04:38:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\gtk-2.0
[2009/02/26 07:29:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\PlayFirst
[2009/01/30 06:32:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\ScanSoft
[2009/01/20 10:09:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\ThumbsPlus
[2008/03/17 02:37:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\Thunderbird
[2009/03/03 09:19:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\Zylom
[2008/06/07 16:17:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\Zylom Games
[2011/09/16 04:43:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
[2010/10/12 01:40:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2011/11/23 06:53:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon
[2011/09/16 04:19:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2009/02/05 10:30:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameHouse
[2010/03/18 13:06:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies
[2009/02/26 07:29:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
[2008/03/17 02:59:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2009/02/03 11:36:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Softland
[2012/05/02 06:21:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Steganos
[2012/05/02 06:21:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2009/03/03 06:36:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2008/03/17 03:01:45 | 000,000,000 | ---D | M] -- C:\Brother
[2011/11/23 06:52:46 | 000,000,000 | -H-D | M] -- C:\CanonMF
[2012/05/02 03:27:02 | 000,000,000 | ---D | M] -- C:\Config.Msi
[2010/05/19 06:43:40 | 000,000,000 | ---D | M] -- C:\ControlCenter2
[2010/01/12 09:42:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2012/05/02 03:20:01 | 000,000,000 | R--D | M] -- C:\Programme
[2010/01/14 03:26:09 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011/05/19 07:55:37 | 000,000,000 | ---D | M] -- C:\sdfsdfsfdsf
[2011/04/20 02:57:45 | 000,000,000 | ---D | M] -- C:\spoolerlogs
[2012/05/02 03:28:38 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012/02/02 04:43:06 | 000,000,000 | ---D | M] -- C:\TEAM
[2008/03/16 10:11:40 | 000,000,000 | ---D | M] -- C:\Temp
[2011/03/30 04:14:50 | 000,000,000 | ---D | M] -- C:\totalcmd
[2008/05/07 04:21:29 | 000,000,000 | ---D | M] -- C:\vallen
[2012/05/02 06:18:02 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2008/03/16 10:46:54 | 000,000,000 | ---D | M] -- C:\WinXpPro-SetupCD
[2012/05/02 12:05:31 | 000,000,000 | ---D | M] -- C:\_OTL
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: %LOCALAPPDATA%\*.exe
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: AGP440.SYS  >
[2004/08/04 08:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008/11/13 06:59:09 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2008/11/13 06:59:09 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2004/08/04 08:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WinXpPro-SetupCD\I386\sp2.cab:AGP440.sys
[2008/04/13 14:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008/04/13 14:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2004/08/04 08:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008/11/13 06:59:09 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008/11/13 06:59:09 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2004/08/04 08:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WinXpPro-SetupCD\I386\sp2.cab:atapi.sys
[2008/04/13 14:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008/04/13 14:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004/08/04 08:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008/04/13 22:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008/04/13 22:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004/08/04 08:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: EXPLORER.EXE  >
[2004/08/04 08:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
[2007/06/13 09:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
[2008/04/13 22:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008/04/13 22:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2007/06/13 09:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
 
< MD5 for: NETLOGON.DLL  >
[2008/04/13 22:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008/04/13 22:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004/08/04 08:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008/04/13 22:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008/04/13 22:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004/08/04 08:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2005/03/02 14:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\$NtUninstallKB925902$\user32.dll
[2007/03/08 11:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2005/03/02 14:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
[2004/08/04 08:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtUninstallKB890859$\user32.dll
[2007/03/08 11:48:39 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
[2008/04/13 22:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008/04/13 22:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008/04/13 22:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008/04/13 22:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004/08/04 08:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004/08/04 08:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008/04/13 22:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008/04/13 22:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004/08/04 08:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004/08/04 08:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2008/03/16 15:26:24 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2008/03/16 15:26:24 | 000,663,552 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2008/03/16 15:26:24 | 000,438,272 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\system32\*.dll /lockedfiles >
[2011/03/03 02:54:43 | 000,149,504 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\dnsapi.dll
[2012/03/02 00:00:10 | 011,082,752 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\ieframe.dll
[2012/03/01 07:00:08 | 002,000,384 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\iertutil.dll
[2008/04/13 22:22:18 | 000,280,064 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\mstask.dll
[2008/04/13 22:22:20 | 000,067,072 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\ntdsapi.dll
[2011/01/21 10:44:10 | 008,503,296 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\shell32.dll
 
Invalid Environment Variable: %USERPROFILE%\*.*
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.dll
 
Invalid Environment Variable: %USERPROFILE%\Application Data\*.exe
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 127 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E29ACA54
< End of report >
ab hier komme ich nicht weiter. Vielen Dank fuer jede Hilfe.

markusg 02.05.2012 14:38
hi,
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
:OTL
O4 - HKU\NewLimes_ON_C..\Run: [D4E4A758] C:\WINDOWS\system32\46AF25C3D4E4A7587805.exe ()
O4 - HKU\Admin_ON_C..\Run: [D4E4A758] C:\WINDOWS\system32\46AF25C3D4E4A7587805.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\NewLimes_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\NewLimes_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\46AF25C3D4E4A7587805.exe) - C:\WINDOWS\system32\46AF25C3D4E4A7587805.exe ()
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.



falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die http://larusso.trojaner-board.de/Images/windows.jpg + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus :)

caprica 02.05.2012 15:17
DU dankst MIR ?!? ... verkehrte Welt.
Zip ist über channel hochgeladen.

während des fixes habe ich die fix-dateien erst reingeladen, dabei ist aber das programm abgestürzt. habe eine zweite instanz gestartet und von hand reinkopiert. fix dauerte keine 2 sekunden. leider war das OS danach instabil und ich musste kaltstarten.

reboot hat geklappt, user "NewLimes" kann sich einloggen. Dateien auf dem Desktop sind mit "locked" und irren erweiterungen markiert, z.B.
"locked-VBG Unterlagen.pdf.gooo"
Outlook konnte das benutzerprofil nicht starten.
soweit so gut
über 99% Prozent der Daten des Users sind auf der 2. Partition (D:), scheinen alle zu laufen.

Mehr habe ich noch nicht probiert. soll ich hier jetzt einen Malwarebyte scan machen?

hier die letzte Logdatei:
OTL Logfile:
Code:
OTL logfile created on: 5/2/2012 2:06:57 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,022.00 Mb Total Physical Memory | 805.00 Mb Available Physical Memory | 79.00% Memory free
906.00 Mb Paging File | 842.00 Mb Available in Paging File | 93.00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 39.06 Gb Total Space | 19.24 Gb Free Space | 49.25% Space Free | Partition Type: NTFS
Drive D: | 72.73 Gb Total Space | 33.93 Gb Free Space | 46.66% Space Free | Partition Type: NTFS
Drive E: | 488.00 Mb Total Space | 285.03 Mb Free Space | 58.41% Space Free | Partition Type: FAT
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2010/03/04 17:38:00 | 000,071,096 | ---- | M] () [Auto] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2009/03/27 03:37:04 | 003,519,336 | ---- | M] (CANON INC.) [Auto] -- C:\Programme\Canon\DIAS\CnxDIAS.exe -- (Canon Driver Information Assist Service)
SRV - [2009/02/25 13:18:14 | 000,425,080 | ---- | M] (Emsi Software GmbH) [Auto] -- C:\Programme\a-squared Free\a2service.exe -- (a2free)
SRV - [2007/12/19 20:04:00 | 000,364,544 | ---- | M] (AVM Berlin) [Auto] -- C:\Programme\avmwlanstick\WLanNetService.exe -- (AVM WLAN Connection Service)
SRV - [2007/11/05 09:28:10 | 000,204,915 | ---- | M] (Option) [Auto] -- C:\Programme\T-Mobile\web'n'walk Manager\GtDetectSc.exe -- (GtDetectSc)
SRV - [2007/02/27 11:55:42 | 000,217,152 | ---- | M] (Steganos GmbH) [Auto] -- C:\Programme\Steganos Internet Security 2007\avp.exe -- (AVP)
SRV - [2005/04/15 11:16:16 | 000,053,248 | ---- | M] (Prolific Technology Inc.) [Auto] -- C:\Programme\Softland\Backup4all 3\IoctlSvc.exe -- (PLFlash DeviceIoControl Service)
SRV - [2003/07/28 01:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2009/11/12 09:48:56 | 000,007,168 | ---- | M] () [File_System | On_Demand] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2008/04/13 14:46:22 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE)
DRV - [2007/12/19 20:04:00 | 000,265,088 | ---- | M] (AVM GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2007/09/10 07:09:20 | 000,022,016 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nvnetbus.sys -- (nvnetbus)
DRV - [2007/09/10 07:09:18 | 000,053,504 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NVENETFD.sys -- (NVENETFD)
DRV - [2007/07/09 09:17:36 | 000,095,744 | ---- | M] (Option NV) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Gt51Ip.sys -- (GT72NDISIPXP)
DRV - [2007/06/26 08:38:46 | 000,051,968 | ---- | M] (Option N.V.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\gt72ubus.sys -- (GT72UBUS)
DRV - [2007/06/14 11:41:58 | 004,429,312 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007/03/30 08:38:14 | 000,008,064 | ---- | M] (Option N.V.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\gtptser.sys -- (GTPTSER)
DRV - [2007/01/27 12:52:46 | 000,175,888 | ---- | M] (Kaspersky Lab) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\klif.sys -- (KLIF)
DRV - [2007/01/25 20:00:00 | 000,004,352 | ---- | M] (AVM Berlin) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avmeject.sys -- (avmeject)
DRV - [2006/08/12 20:52:18 | 000,334,976 | R--- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\USBAV191.SYS -- (USBAV191)
DRV - [2006/04/13 09:33:28 | 000,008,192 | ---- | M] (BIOSTAR Group) [Kernel | System] -- C:\WINDOWS\system32\drivers\BS_I2cIo.sys -- (BS_I2cIo)
DRV - [2006/03/27 12:53:28 | 000,167,808 | ---- | M] (NETGEAR Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wg111v2.sys -- (RTLWUSB)
DRV - [2006/02/21 15:46:26 | 001,505,792 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2005/03/16 02:23:54 | 000,013,696 | ---- | M] (BIOSTAR Group) [Kernel | System] -- C:\WINDOWS\system32\drivers\BIOS.sys -- (BIOS)
DRV - [2004/10/25 08:40:58 | 000,017,664 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ZDPSp50.sys -- (ZDPSp50)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Admin_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Konto_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\NewLimes_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.babylon.com/?babsrc=HP_ss&affID=100474&mntrId=d4e4a75800000000000000e04d5cb568
IE - HKU\NewLimes_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\Zukunft2013_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\4.1.10111.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Dokumente und Einstellungen\NewLimes\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Dokumente und Einstellungen\NewLimes\Lokale Einstellungen\Anwendungsdaten\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Dokumente und Einstellungen\NewLimes\Lokale Einstellungen\Anwendungsdaten\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
 
 
[2010/01/12 11:14:50 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\mozilla\Extensions
[2012/04/27 07:20:54 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\mozilla\Firefox\Profiles\b0tce4mx.default\extensions
[2012/05/02 03:11:26 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\mozilla\Firefox\Profiles\b0tce4mx.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}(2)
[2011/09/16 04:43:35 | 000,000,000 | ---D | M] (Babylon) -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\mozilla\Firefox\Profiles\b0tce4mx.default\extensions\ffxtlbr@babylon.com
[2012/05/02 03:19:39 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011/03/08 10:29:15 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V3.5\WINDOWS PRESENTATION FOUNDATION\DOTNETASSISTANTEXTENSION
[2011/09/16 04:43:22 | 000,002,288 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\babylon.xml
 
O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.35.10\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof1.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Programme\BabylonToolbar\BabylonToolbar\1.4.35.10\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (softonic-de3 Toolbar) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\prxtbsof1.dll (Conduit Ltd.)
O3 - HKU\Admin_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof1.dll (Conduit Ltd.)
O3 - HKU\NewLimes_ON_C\..\Toolbar\WebBrowser: (softonic-de3 Toolbar) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - C:\Programme\softonic-de3\prxtbsof1.dll (Conduit Ltd.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [AVP] C:\Programme\Steganos Internet Security 2007\avp.exe (Steganos GmbH)
O4 - HKLM..\Run: [Backup4all 3 OTB Agent] C:\Programme\Softland\Backup4all 3\B4aOTB.exe (Softland)
O4 - HKLM..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe (Brother Industries, Ltd.)
O4 - HKLM..\Run: [MFNetworkScanUtility] C:\Programme\Canon\Canon MF Network Scan Utility\CNMFSUT.EXE (CANON INC.)
O4 - HKLM..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
O4 - HKU\Admin_ON_C..\Run: [Backup4all 3] C:\Programme\Softland\Backup4all 3\Backup4all.exe (Softland)
O4 - HKU\Admin_ON_C..\Run: [Backup4all OTB Agent] C:\Programme\Softland\Backup4all 3\b4aOTB.EXE (Softland)
O4 - HKU\Admin_ON_C..\Run: [D4E4A758] C:\WINDOWS\system32\46AF25C3D4E4A7587805.exe ()
O4 - HKU\Admin_ON_C..\Run: [Google Update]  File not found
O4 - HKU\NewLimes_ON_C..\Run: [D4E4A758] C:\WINDOWS\system32\46AF25C3D4E4A7587805.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\Admin\Startmenü\Programme\Autostart\The Personal FTP Server.lnk = C:\Programme\PFTP\PFtp.exe (MRSoft)
O4 - Startup: C:\Dokumente und Einstellungen\NewLimes\Startmenü\Programme\Autostart\Microsoft Office Outlook 2003.lnk = C:\WINDOWS\Installer\{90110407-6000-11D3-8CFE-0150048383C9}\outicon.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\NewLimes\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk = C:\Programme\OpenOffice.org 2.3\program\quickstart.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 91 00 00 00  [binary data]
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Konto_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NewLimes_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NewLimes_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\NewLimes_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\systemprofile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Zukunft2013_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Steganos Internet Security 2007\ie_banner_deny.htm ()
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\PROGRA~1\STEGAN~1\adialhk.dll) - C:\Programme\Steganos Internet Security 2007\adialhk.dll (Kaspersky Lab)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\46AF25C3D4E4A7587805.exe) - C:\WINDOWS\system32\46AF25C3D4E4A7587805.exe ()
O20 - HKLM Winlogon: GinaDLL - (RtlGina2.dll) - C:\WINDOWS\System32\RtlGina2.dll ()
O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)
O20 - Winlogon\Notify\klogon: DllName - C:\WINDOWS\system32\klogon.dll - C:\WINDOWS\system32\klogon.dll (Steganos GmbH)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/03/18 13:08:21 | 000,000,050 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{46777c8b-1be4-11e0-92af-00e04d5cb568}\Shell - "" = AutoRun
O33 - MountPoints2\{46777c8b-1be4-11e0-92af-00e04d5cb568}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{46777c8b-1be4-11e0-92af-00e04d5cb568}\Shell\AutoRun\command - "" = F:\setup.exe AUTORUN=1
O33 - MountPoints2\{59d042b3-4b7d-11df-91ea-00e04d5cb568}\Shell - "" = AutoRun
O33 - MountPoints2\{59d042b3-4b7d-11df-91ea-00e04d5cb568}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{59d042b3-4b7d-11df-91ea-00e04d5cb568}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SYSTEM.EXE
O33 - MountPoints2\{59d042b3-4b7d-11df-91ea-00e04d5cb568}\Shell\explore\command - "" = SYSTEM.EXE
O33 - MountPoints2\{59d042b3-4b7d-11df-91ea-00e04d5cb568}\Shell\OpEn\ComMaNd - "" = SYSTEM.EXE
O33 - MountPoints2\{6e52aadd-4682-11e0-92e0-00e04d5cb568}\Shell - "" = AutoRun
O33 - MountPoints2\{6e52aadd-4682-11e0-92e0-00e04d5cb568}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{6e52aadd-4682-11e0-92e0-00e04d5cb568}\Shell\AutoRun\command - "" = F:\pushinst.exe
O33 - MountPoints2\{b4c100e0-898e-11df-9221-00e04d5cb568}\Shell - "" = AutoRun
O33 - MountPoints2\{b4c100e0-898e-11df-9221-00e04d5cb568}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{b4c100e0-898e-11df-9221-00e04d5cb568}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL SYSTEM.EXE
O33 - MountPoints2\{b4c100e0-898e-11df-9221-00e04d5cb568}\Shell\explore\command - "" = SYSTEM.EXE
O33 - MountPoints2\{b4c100e0-898e-11df-9221-00e04d5cb568}\Shell\OpEn\ComMaNd - "" = SYSTEM.EXE
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MSI US54SE 802.11b+g USB Stick Utility.lnk - C:\Programme\MSI\US54SE_Utility\ZDWlan.exe - ()
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NETGEAR WG111v2 Smart Wizard.lnk - C:\Programme\NETGEAR\WG111v2\WG111v2.exe - ()
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^web'n'walk Manager.lnk - C:\Programme\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe - (T-Mobile)
MsConfig - StartUpReg: AVMWlanClient - hkey= - key= - C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin GmbH)
MsConfig - StartUpReg: IndexSearch - hkey= - key= - C:\Programme\ScanSoft\PaperPort\IndexSearch.exe (ScanSoft, Inc.)
MsConfig - StartUpReg: SkyTel - hkey= - key= - C:\WINDOWS\SkyTel.exe (Realtek Semiconductor Corp.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/05/02 12:12:34 | 002,237,440 | R--- | C] (OldTimer Tools) -- C:\OTLPE.exe
[2012/05/02 12:05:31 | 000,000,000 | ---D | C] -- C:\_OTL
[2012/05/02 02:53:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Rrrrrrrrrr
[2012/04/20 12:59:11 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Brother
[2012/04/20 12:48:46 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Admin\PrivacIE
[2012/04/20 12:48:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\BabylonToolbar
[2012/04/20 10:37:02 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Musik
[2012/04/20 10:37:02 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Eigene Bilder
[2012/04/20 10:37:02 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Admin\IETldCache
 
========== Files - Modified Within 30 Days ==========
 
[2012/05/02 06:42:00 | 000,084,000 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2012/05/02 06:42:00 | 000,001,210 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-682003330-1788223648-725345543-1004UA.job
[2012/05/02 06:22:02 | 000,489,248 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/05/02 06:22:02 | 000,466,352 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/05/02 06:22:02 | 000,097,252 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/05/02 06:22:02 | 000,081,184 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/05/02 06:22:02 | 000,001,312 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.dat
[2012/05/02 06:21:05 | 000,002,619 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Startmenü\Programme\Autostart\Microsoft Office Outlook 2003.lnk
[2012/05/02 06:21:01 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/02 06:17:56 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/05/02 06:17:04 | 000,001,074 | ---- | M] () -- C:\WINDOWS\pftp.ini
[2012/05/02 03:53:00 | 000,001,222 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-682003330-1788223648-725345543-1007UA.job
[2012/05/02 03:30:13 | 000,000,032 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox2.idx
[2012/05/02 03:30:12 | 000,000,032 | -HS- | M] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2012/05/02 03:19:23 | 000,585,728 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Eigene Dateien\locked-Thumbs.td4.yynn
[2012/05/02 03:19:23 | 000,008,877 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Eigene Dateien\locked-Thumbs.tdo.zzzz
[2012/05/02 03:19:22 | 000,029,460 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Eigene Dateien\locked-tanke.csv.hhhh
[2012/05/02 03:19:18 | 000,000,031 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Eigene Dateien\locked-petite fleur.map.ssss
[2012/05/02 03:19:17 | 000,000,670 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Eigene Dateien\locked-kontakte.csv.uunn
[2012/05/02 03:13:48 | 000,152,868 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-Zürich Versicherung 3.pdf.phhh
[2012/05/02 03:13:48 | 000,149,906 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-Zürich Versicherung 2.pdf.bbmm
[2012/05/02 03:13:48 | 000,099,767 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-Zürich Versicherung 4.pdf.fvvv
[2012/05/02 03:13:47 | 000,492,421 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-VBG Unterlagen.pdf.gooo
[2012/05/02 03:13:47 | 000,229,219 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-VBG Unfallversicherung.pdf.wsss
[2012/05/02 03:13:47 | 000,098,723 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-Zürich Versicherung 1.pdf.zzyy
[2012/05/02 03:13:47 | 000,091,221 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-Zusatz zum Arbeitsvertrag.pdf.qppp
[2012/05/02 03:12:52 | 000,076,379 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-orange.jpg.llxx
[2012/05/02 03:10:50 | 000,000,079 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\locked-Desktop anzeigen.scf.xvvv
[2012/05/02 03:10:28 | 000,000,926 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\locked-.recently-used.xbel.ttee
[2012/05/02 03:10:19 | 015,772,448 | ---- | M] () -- C:\Dokumente und Einstellungen\Konto\Desktop\locked-gimp-2.6.2-i686-setup.exe.hppp
[2012/05/02 03:10:19 | 007,341,232 | ---- | M] () -- C:\Dokumente und Einstellungen\Konto\Desktop\locked-Firefox Setup 3.0.4.exe.wwll
[2012/05/02 03:10:15 | 000,000,079 | ---- | M] () -- C:\Dokumente und Einstellungen\Konto\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\locked-Desktop anzeigen.scf.jlll
[2012/05/02 02:54:11 | 025,779,166 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\locked-Drive_C.xml.annn
[2012/05/02 02:54:10 | 025,571,334 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-Sarahs Fahrtkosten 1_von 4.bmp.wrrr
[2012/05/02 02:54:10 | 004,043,367 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-tipp10_win_v2-0-3.exe.syyy
[2012/05/02 02:54:10 | 000,767,771 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-pci_clonemaxx.exe.quuu
[2012/05/02 02:54:09 | 025,571,334 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-Erlaubnis für die Durchführung einer Veranstaltung 3 von 7.bmp.hhhh
[2012/05/02 02:54:09 | 025,571,334 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-Erlaubnis für die Durchführung einer Veranstaltung 2 von 7.bmp.ffff
[2012/05/02 02:54:09 | 025,571,334 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-Erlaubnis für die Durchführung einer Veranstaltung 1 von 7.bmp.kzzz
[2012/05/02 02:54:09 | 005,845,160 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-34033.rar.fiii
[2012/05/02 02:54:09 | 001,766,443 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-dixmlsetup202.exe.fooo
[2012/05/02 02:54:09 | 001,268,353 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\locked-InstallRarZilla.exe.hppp
[2012/05/02 02:53:52 | 000,000,079 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\locked-Desktop anzeigen.scf.qddd
[2012/05/02 02:53:43 | 018,846,619 | ---- | M] () -- C:\locked-Canisisus.zip.tttt
[2012/05/02 02:53:00 | 000,001,170 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-682003330-1788223648-725345543-1007Core.job
[2012/05/02 02:52:08 | 000,054,784 | -H-- | M] () -- C:\WINDOWS\System32\46AF25C3D4E4A7587805.exe
[2012/04/30 11:29:50 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh321
[2012/04/30 11:29:30 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh320
[2012/04/30 11:28:00 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh323
[2012/04/30 11:26:42 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh322
[2012/04/27 07:13:36 | 000,000,473 | ---- | M] () -- C:\WINDOWS\BRWMARK.INI
[2012/04/26 12:38:10 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh325
[2012/04/26 12:37:48 | 000,481,078 | ---- | M] () -- C:\WINDOWS\System32\winsh324
[2012/04/26 10:42:00 | 000,001,158 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-682003330-1788223648-725345543-1004Core.job
[2012/04/25 06:31:13 | 000,003,339 | ---- | M] () -- C:\WINDOWS\wincmd.ini
[2012/04/25 06:28:41 | 000,000,302 | ---- | M] () -- C:\WINDOWS\wcx_ftp.ini
[2012/04/25 06:28:15 | 000,002,533 | ---- | M] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\Microsoft Office FrontPage 2003.lnk
[2012/04/20 10:43:53 | 000,002,371 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Google Chrome.lnk
[2012/04/20 10:43:53 | 000,002,349 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
[2012/04/20 10:37:04 | 000,000,802 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2012/04/11 11:11:17 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
 
========== Files Created - No Company Name ==========
 
[2012/05/02 03:30:13 | 000,001,312 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox2.dat
[2012/05/02 03:30:13 | 000,000,032 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox2.idx
[2012/05/02 03:30:12 | 000,084,000 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox.dat
[2012/05/02 03:30:12 | 000,000,032 | -HS- | C] () -- C:\WINDOWS\System32\drivers\fidbox.idx
[2012/05/02 02:53:31 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh325
[2012/05/02 02:53:31 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/02 02:53:31 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/02 02:53:31 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/02 02:53:31 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/02 02:53:31 | 000,481,078 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2012/05/02 02:52:08 | 000,054,784 | -H-- | C] () -- C:\WINDOWS\System32\46AF25C3D4E4A7587805.exe
[2012/04/27 06:01:23 | 000,091,221 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-Zusatz zum Arbeitsvertrag.pdf.qppp
[2012/04/25 03:20:05 | 000,492,421 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-VBG Unterlagen.pdf.gooo
[2012/04/23 10:00:29 | 000,229,219 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Desktop\locked-VBG Unfallversicherung.pdf.wsss
[2012/02/16 03:37:33 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/02/08 05:01:18 | 000,000,926 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\locked-.recently-used.xbel.ttee
[2011/11/23 06:53:05 | 000,000,323 | ---- | C] () -- C:\WINDOWS\System32\CNCMFP36.INI
[2011/10/17 04:33:02 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\Lfkodak.dll
[2011/10/17 04:33:01 | 000,338,944 | ---- | C] () -- C:\WINDOWS\System32\Lffpx7.dll
[2011/10/17 04:33:01 | 000,088,576 | ---- | C] () -- C:\WINDOWS\System32\Lffpx90n.dll
[2011/09/16 04:57:11 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\pdfcmnnt.dll
[2011/05/18 04:46:10 | 000,001,324 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011/05/05 05:59:55 | 000,009,374 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Kommagetrennte Werte (Windows).EML
[2011/03/30 04:16:46 | 000,000,302 | ---- | C] () -- C:\WINDOWS\wcx_ftp.ini
[2011/03/30 04:14:32 | 000,003,339 | ---- | C] () -- C:\WINDOWS\wincmd.ini
[2010/10/07 11:46:38 | 000,002,437 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Thumbs.ini
[2010/09/03 06:28:31 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2010/09/03 06:28:31 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2010/03/18 13:25:03 | 000,005,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/03/18 13:24:21 | 000,334,976 | R--- | C] () -- C:\WINDOWS\System32\drivers\USBAV191.SYS
[2010/03/18 13:24:03 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2010/02/08 13:54:02 | 000,013,013 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Kommagetrennte Werte (Windows).CAL
[2010/01/14 03:41:31 | 000,039,936 | ---- | C] () -- C:\Dokumente und Einstellungen\NewLimes\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010/01/12 12:08:53 | 000,000,032 | ---- | C] () -- C:\WINDOWS\CD_START.INI
[2009/11/06 08:41:16 | 000,008,521 | ---- | C] () -- C:\WINDOWS\lmpcl2a.ini
[2009/11/03 04:38:26 | 000,001,488 | ---- | C] () -- C:\Dokumente und Einstellungen\Zukunft2013\.recently-used.xbel
[2009/09/28 08:55:47 | 000,001,074 | ---- | C] () -- C:\WINDOWS\pftp.ini
[2009/02/03 11:36:42 | 000,007,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2008/09/15 08:49:52 | 000,001,144 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2008/09/15 08:49:50 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2008/07/23 03:22:19 | 000,000,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Zukunft2013\Lokale Einstellungen\Anwendungsdaten\d3d9caps.dat
[2008/05/07 04:11:00 | 000,001,781 | ---- | C] () -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\Thumbs.ini
[2008/04/15 10:00:33 | 000,007,168 | ---- | C] () -- C:\Dokumente und Einstellungen\Zukunft2013\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/04/08 12:51:54 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2008/03/27 06:29:17 | 000,000,056 | ---- | C] () -- C:\WINDOWS\BO9420CN.INI
[2008/03/26 01:17:25 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\ZyDelReg.exe
[2008/03/26 01:17:23 | 000,015,872 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD64.DLL
[2008/03/26 01:17:22 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD.dll
[2008/03/17 05:04:45 | 000,000,552 | ---- | C] () -- C:\Dokumente und Einstellungen\Zukunft2013\Lokale Einstellungen\Anwendungsdaten\d3d8caps.dat
[2008/03/17 03:20:24 | 000,000,000 | ---- | C] () -- C:\Programme\error.dat
[2008/03/17 03:03:22 | 000,000,030 | ---- | C] () -- C:\WINDOWS\System32\brss01a.ini
[2008/03/17 03:03:21 | 000,000,473 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2008/03/17 03:03:21 | 000,000,026 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2008/03/17 03:02:27 | 000,000,820 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini
[2008/03/17 03:02:27 | 000,000,147 | ---- | C] () -- C:\WINDOWS\brpcfx.ini
[2008/03/17 03:02:27 | 000,000,065 | ---- | C] () -- C:\WINDOWS\System32\bd9420cn.dat
[2008/03/17 03:01:43 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brdfxspd.dat
[2008/03/17 03:01:42 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll
[2008/03/17 03:00:26 | 000,027,114 | ---- | C] () -- C:\WINDOWS\maxlink.ini
[2008/03/17 02:17:42 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/03/16 15:54:46 | 000,001,732 | ---- | C] () -- C:\WINDOWS\System32\drivers\nvphy.bin
[2008/03/16 15:52:48 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2008/03/16 15:04:01 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008/03/16 14:59:17 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/03/16 14:28:26 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008/03/16 14:27:26 | 000,240,736 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008/03/16 10:05:04 | 000,101,287 | ---- | C] () -- C:\WINDOWS\System32\drivers\klin.dat
[2008/03/16 10:05:04 | 000,089,601 | ---- | C] () -- C:\WINDOWS\System32\drivers\klick.dat
[2008/03/16 09:47:12 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2007/12/19 20:04:00 | 000,097,360 | ---- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin
[2007/01/29 18:09:14 | 000,023,196 | ---- | C] () -- C:\WINDOWS\System32\drivers\klop.dat
[2006/05/03 12:44:32 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\RtlGina2.dll
[2006/02/13 08:29:26 | 000,121,995 | ---- | C] () -- C:\WINDOWS\System32\atiicdxx.dat
[2005/01/17 03:10:16 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\BRTCPCON.DLL
[2004/08/09 21:00:42 | 000,000,114 | ---- | C] () -- C:\WINDOWS\System32\BRLMW03A.INI
[2004/08/04 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 08:00:00 | 000,489,248 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/08/04 08:00:00 | 000,466,352 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 08:00:00 | 000,097,252 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/08/04 08:00:00 | 000,081,184 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/08/04 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2004/08/04 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003/02/20 02:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[2002/03/04 05:16:34 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Jpeg32.dll
[1996/04/03 15:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys
 
========== LOP Check ==========
 
[2012/04/20 12:48:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\BabylonToolbar
[2012/05/02 02:53:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\muvee Technologies
[2011/04/29 01:54:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PriceGong
[2008/05/07 04:13:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ThumbsPlus
[2008/03/17 00:35:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Thunderbird
[2011/02/07 12:31:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Unity
[2012/05/02 03:10:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Babylon
[2011/09/29 03:12:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\BabylonToolbar
[2010/10/12 01:40:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Canneverbe Limited
[2011/11/24 11:14:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Canon
[2011/09/13 05:38:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\gtk-2.0
[2011/09/16 04:57:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\pdfforge
[2011/03/23 08:47:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\PriceGong
[2012/05/02 02:53:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\Rrrrrrrrrr
[2010/01/13 10:53:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\ScanSoft
[2010/12/06 05:49:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\SmartTools
[2012/05/02 03:11:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NewLimes\Anwendungsdaten\ThumbsPlus
[2009/11/03 04:38:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\gtk-2.0
[2009/02/26 07:29:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\PlayFirst
[2009/01/30 06:32:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\ScanSoft
[2009/01/20 10:09:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\ThumbsPlus
[2008/03/17 02:37:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\Thunderbird
[2009/03/03 09:19:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\Zylom
[2008/06/07 16:17:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Zukunft2013\Anwendungsdaten\Zylom Games
[2011/09/16 04:43:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Babylon
[2010/10/12 01:40:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2011/11/23 06:53:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canon
[2011/09/16 04:19:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreePDF
[2009/02/05 10:30:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameHouse
[2010/03/18 13:06:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies
[2009/02/26 07:29:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
[2008/03/17 02:59:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
[2009/02/03 11:36:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Softland
[2012/05/02 06:21:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Steganos
[2012/05/02 06:21:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2009/03/03 06:36:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2008/03/17 03:01:45 | 000,000,000 | ---D | M] -- C:\Brother
[2011/11/23 06:52:46 | 000,000,000 | -H-D | M] -- C:\CanonMF
[2012/05/02 03:27:02 | 000,000,000 | ---D | M] -- C:\Config.Msi
[2010/05/19 06:43:40 | 000,000,000 | ---D | M] -- C:\ControlCenter2
[2010/01/12 09:42:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2012/05/02 03:20:01 | 000,000,000 | R--D | M] -- C:\Programme
[2010/01/14 03:26:09 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011/05/19 07:55:37 | 000,000,000 | ---D | M] -- C:\sdfsdfsfdsf
[2011/04/20 02:57:45 | 000,000,000 | ---D | M] -- C:\spoolerlogs
[2012/05/02 03:28:38 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012/02/02 04:43:06 | 000,000,000 | ---D | M] -- C:\TEAM
[2008/03/16 10:11:40 | 000,000,000 | ---D | M] -- C:\Temp
[2011/03/30 04:14:50 | 000,000,000 | ---D | M] -- C:\totalcmd
[2008/05/07 04:21:29 | 000,000,000 | ---D | M] -- C:\vallen
[2012/05/02 06:18:02 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2008/03/16 10:46:54 | 000,000,000 | ---D | M] -- C:\WinXpPro-SetupCD
[2012/05/02 12:05:31 | 000,000,000 | ---D | M] -- C:\_OTL
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: %LOCALAPPDATA%\*.exe
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: AGP440.SYS  >
[2004/08/04 08:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008/11/13 06:59:09 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2008/11/13 06:59:09 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2004/08/04 08:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WinXpPro-SetupCD\I386\sp2.cab:AGP440.sys
[2008/04/13 14:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008/04/13 14:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2004/08/04 08:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008/11/13 06:59:09 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008/11/13 06:59:09 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2004/08/04 08:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WinXpPro-SetupCD\I386\sp2.cab:atapi.sys
[2008/04/13 14:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008/04/13 14:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004/08/04 08:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008/04/13 22:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008/04/13 22:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004/08/04 08:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: EXPLORER.EXE  >
[2004/08/04 08:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
[2007/06/13 09:10:08 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=331ED93570BAF3CFE30340298762CD56 -- C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
[2008/04/13 22:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008/04/13 22:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2007/06/13 09:21:45 | 001,036,288 | ---- | M] (Microsoft Corporation) MD5=64D320C0E301EEDC5A4ADBBDC5024F7F -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
 
< MD5 for: NETLOGON.DLL  >
[2008/04/13 22:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008/04/13 22:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004/08/04 08:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008/04/13 22:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008/04/13 22:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004/08/04 08:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2005/03/02 14:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\$NtUninstallKB925902$\user32.dll
[2007/03/08 11:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2005/03/02 14:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
[2004/08/04 08:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtUninstallKB890859$\user32.dll
[2007/03/08 11:48:39 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
[2008/04/13 22:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008/04/13 22:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008/04/13 22:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008/04/13 22:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004/08/04 08:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004/08/04 08:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008/04/13 22:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008/04/13 22:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004/08/04 08:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004/08/04 08:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2008/03/16 15:26:24 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2008/03/16 15:26:24 | 000,663,552 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2008/03/16 15:26:24 | 000,438,272 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\system32\*.dll /lockedfiles >
[2011/03/03 02:54:43 | 000,149,504 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\dnsapi.dll
[2012/03/02 00:00:10 | 011,082,752 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\ieframe.dll
[2012/03/01 07:00:08 | 002,000,384 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\iertutil.dll
[2008/04/13 22:22:18 | 000,280,064 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\mstask.dll
[2008/04/13 22:22:20 | 000,067,072 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\ntdsapi.dll
[2011/01/21 10:44:10 | 008,503,296 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\shell32.dll
 
Invalid Environment Variable: %USERPROFILE%\*.*
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.dll
 
Invalid Environment Variable: %USERPROFILE%\Application Data\*.exe
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 127 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:E29ACA54
< End of report >
--- --- ---

[/QUOTE]

markusg 02.05.2012 16:24
ok, dann mal folgendes:
mache ein backup deiner wichtigen dateien die verschlüsselt sind
auf ein externes laufwerk
dann entschlüsseln:
http://www.trojaner-board.de/114224-...-unlocker.html
gesammtes verzeichniss entschlüsseln wählen.
teile mir mit obs geklappt hatt

caprica 02.05.2012 16:39
Vielen Dank!
Ein externes Laufwerk von der Größe krieg ich erst morgen her.
MalwareBytes hab ich mal installiert, scannt gerade.
Sämtliche Office-Programme wollen beim Starten Element vom pro11.msi Paket nachinstallieren. (Office 2003). Kann ich auch erst morgen mitbringen.
- oder kann ich eine bestimmte User datei schon mal entschlüsseln, damit wenigstens office wieder läuft?

markusg 02.05.2012 16:45
wer hat was von nem malwarebytes scan gesagt, mach bitte einfach nur das, was hier steht, danke.

caprica 02.05.2012 16:53
steht als Punkt 1 ganz oben, hab im ersten post gesagt, dass ich es vergeblich probiert habe und im zweiten nochmal nachgefragt. sorry. Immernoch vielen Dank!

markusg 02.05.2012 17:44
du schreibst
"MalwareBytes hab ich mal installiert, scannt gerade.
Sämtliche Office-Programme wollen beim Starten Element vom pro11.msi Paket nachinstallieren. (Office 2003). Kann ich auch erst morgen mitbringen.
"
ich möchte aber momentan nicht, dass du mit malwarebytes scanst, denn zuerst kommt, wenn du nen backup hast, avira unlocker drann

caprica 02.05.2012 17:45
hab verstanden und folge

So. Backup erstellt.
habe im posteingang die originalversion einer pdf gefunden, die auf der platte verschlüsselt vorlag, dieses paar an AVIRA gefüttert und die knapp 3000 anwenderdaten des nutzers waren ratz-fatz entschlüsselt.

:taenzer:

markusg 03.05.2012 16:47
lassen sich auch alle öffnen?

caprica 03.05.2012 16:49
jep :) alles zur vollen zufriedenheit

markusg 03.05.2012 16:53
jetzt bitte weiter mit malwarebytes, komplett scan, nach update :-)


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:19 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131