Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Avira meldet TR/Hiloti.A.146, etc. - Rechner spinnt total (https://www.trojaner-board.de/97597-avira-meldet-tr-hiloti-a-146-etc-rechner-spinnt-total.html)

sonja0 17.04.2011 16:41
Avira meldet TR/Hiloti.A.146, etc. - Rechner spinnt total
 
Ich wurschtle jetzt schon seit einigen Tagen nachdem ich mir scheinbar irgendeinen Mist eingefangen hab. Diverse Bereinigungsversuche mit Avira und Bitdefender haben leider nichts gebracht. Die wichtigsten Daten und Fotos hab ich in der Zwischenzeit mittels ubuntu-LiveCD gerettet (komplette Datensicherung hab ich leider in der Vergangenheit verabsäumt). Ich möchte mein System aber noch nicht komplett aufgeben und hoffe, daß mir hier jemand helfen kann es zu bereinigen. Leider bin ich kein Profi auf dem Gebiet und inzwischen ziemlich ratlos. Die Funde von Avira schicke ich immer in Quarantäne - trotzdem verändert sich aus unerfindlichen Gründen plötzlich die Farbe der Taskleiste (von blau auf grau), das IE-Fenster verliert ständig den Fokus, etc.
Vorab schon mal vielen Dank und bitte nicht böse sein wenn irgendwas unvollständig ist, ich hab nicht so viel Erfahrung mit diesen Dingen und liefere alles benötigte gerne nach. Im Anhang die Logfiles lt. Anleitung:

Anhang 15873

Anhang 15875

Anhang 15876

Swisstreasure 17.04.2011 17:56
:hallo:

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
  • Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren).
  • Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
  • Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Lade ComboFix von einem der unten aufgeführten Links herunter. Du musst diese umbenennen, bevor Du es auf den Desktop speicherst. Speichere ComboFix auf deinen Desktop.**NB: Es ist wichtig, das ComboFix.exe auf dem Desktop gespeichert wird**

http://i266.photobucket.com/albums/i...ownload_FF.gif

http://i94.photobucket.com/albums/l8...x-Download.png
  • Deaktivere Deine Anti-Virus- und Anti-Spyware-Programme. Normalerweise kannst Du dies über einen Rechtsklick auf das Systemtray-Icon tun. Die Programme könnten sonst eventuell unsere Programme bei deren Arbeit stören.
  • Doppel-klicke auf ComboFix.exe und folge den Aufforderungen.
    • Wenn ComboFix fertig ist, wird es ein Log für dich erstellen.
    • Bitte poste mir den Inhalt von C:\ComboFix.txt hier in de Thread.

sonja0 17.04.2011 18:55
Ich hab hier grad ein kleines Problem glaub ich:
Ich habe den AntiVir Guard zuerst gestoppt und dann ComboFix gestartet, dann wurde von Microsoft die Wiederherstellungskonsole runtergeladen. Nach einer weile hat ComboFix den Fund eines Rootkits gemeldet und kurz darauf beschlossen den Rechner deshalb neu zu starten. Das dumme ist nur mit dem Neustart startet auch Avira automatisch mit und ich glaube ComboFix hat sich "aufgehängt". Die ComboFix fenster rasen wie wild über den Bildschirm - Avira hab ich inzwischen wieder beendet, aber ich glaube das wird so nichts, oder?

lG

Sonja

p.s. Ich schreibe jetzt übrigens grad von einem anderen Rechner

Swisstreasure 17.04.2011 19:58
Dann lass einmal Combofix und mache so weiter:


Schritt 1

Mehrere Anti-Virus-Programme

Code:
Panda
Avira
Mir ist aufgefallen, dass Du mehr als ein Anti-Virus-Programm mit Hintergrundwächter laufen hast. Das ist gefährlich, da sich die Programme in die Quere kommen können und dadurch Viren erst recht auf dem Rechner landen können. Entscheide Dich für eine Variante und deinstalliere die andere über Systemsteuerung => Software.
Berichte, für welches Anti-Virus-Programm Du Dich entschieden hast und deinstalliere die anderen.

Schritt 2
  • Dowloade Dir bitte TDSS Killer.zip und speichere es am Desktop.
  • Extrahiere den Inhalt der Datei auf deinem Desktop.
    Gehe sicher das die TDSSKiller.exe am Desktop ist. Nicht in einem Ordner.
    • Schließe alle laufenden Programme.
    • Trenne dich von Internet.
    • Deaktiviere deine AntiViren Software.
  • Starte TDSSkiller.exe mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Drücke auf Start scan.
  • Sollte die Meldung "Hidden service detected" schreiben keinesfalls irgendetwas hinein..Drücke nur ENTER !!!
  • Wenn das Tool fertig ist, poppt ein Fenster mit den Funden auf.
    Dieses bitte einfach schließen.
  • Nun auf Report klicken.
  • Bitte poste mir den Inhalt hier in deinen Thread.
    (auch zu finden unter C:\TDSSKiller<time_date>.txt)

Schritt 3

Fixen mit OTL
Code:
:OTL
MOD - [2011.04.07 21:37:49 | 000,724,480 | ---- | M] () -- C:\WINDOWS\system32\smvbqifn.dll
SRV - [2011.04.07 21:37:49 | 000,724,480 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\smvbqifn.dll -- (iipvovqc)
SRV - File not found [Auto | Stopped] -- -- (crededit40.exe)
SRV - File not found [On_Demand | Stopped] -- -- (Boonty Games)
O2 - BHO: () - {B79FB2B4-CDF1-A4A1-9EEC-74229876CECA} - C:\WINDOWS\system32\smvbqifn.dll ()
O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - No CLSID value found.
O4 - HKLM..\Run: [adad95News] File not found
O4 - HKLM..\Run: [Regedit32] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
O20 - AppInit_DLLs: (iassvc10.dll) - File not found
O29 - HKLM SecurityProviders - (maohrybt.dll) - C:\WINDOWS\System32\maohrybt.dll (Yyjsl Software)
NetSvcs: iipvovqc - C:\WINDOWS\system32\smvbqifn.dll ()
[2011.04.09 18:51:08 | 000,000,000 | ---D | C] -- C:\.Trash-999
[2011.04.08 10:57:53 | 000,031,744 | ---- | C] (Yyjsl Software) -- C:\WINDOWS\System32\maohrybt.dll
[2011.04.07 21:37:49 | 000,724,480 | ---- | M] () -- C:\WINDOWS\System32\smvbqifn.dll
[2011.04.07 23:46:54 | 000,011,421 | ---- | M] () -- C:\WINDOWS\System32\GnuHashes.ini
@Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0
@Alternate Data Stream - 16 bytes -> C:\Dokumente und Einstellungen\Sonja\Eigene Dateien\Shareaza Downloads:Shareaza.GUID
@Alternate Data Stream - 108 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5A8F8A0C
@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:59846E5E
:Commands
[purity]
[emptytemp]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

sonja0 17.04.2011 20:31
Kannst du mir noch verraten wie ich ComboFix abbrechen kann? Bei jedem Neustart tauchen die Fenster sofort wieder auf und rasen über den Bildschirm. Über den Taskmanager schaff ich's nicht weil anscheinend ständig neue Fenster (Prozesse) geöffnet werden.

lG

Sonja

Swisstreasure 17.04.2011 21:03
Was für Fenster rasen genau über den Desktop? Und was steht?

sonja0 18.04.2011 07:35
Also das sind so Fenster wie das in dem Combo-Fix gestartet hat. (ich glaub das nennt man auch Dos-Shell??) Ganz oben blaue Leiste, links in der blauen Leiste das schwarze Symbol C:\, dann steht C:\Combo-Fix\REV.cfxxe
Das eigentliche Fenster ist leer. Die Fenster öffnen und schließen sich in rasendem Tempo eins nach dem anderen schräg von links oben nach rechts untern versetzt. Manchmal steht statt "PEV" auf irgendwas mit Zahlen - geht aber so schnell, daß ich es nicht entziffern kann.

lG

Sonja

Swisstreasure 18.04.2011 13:30
Beende im Taskmanager alle Prozesse mit der Endung .cfxxe und führe dann otl aus.

sonja0 18.04.2011 13:58
Also nachdem ich auch die Prozesse nicht beenden konnte, da immer neue aufgetaucht sind hab ich mich jetzt mal als Administrator angemeldet (hätt ich vielleicht schon früher machen sollen). ComboFix hat wieder automatisch gestartet, aber siehe da schaut alles normal aus. Ich versuch jetzt mal das Logfile zu posten und mach sonst vorerst gar nichts. Warte auf neue Anweisungen.

lG

Sonja

Swisstreasure 18.04.2011 15:30
Zitat:
hab ich mich jetzt mal als Administrator angemeldet (hätt ich vielleicht schon früher machen sollen)
IMMER als Admin angemeldet sein. Das ist sehr wichtig!

Werde mich am Abend wieder melden.

Swisstreasure 18.04.2011 19:02
Schritt 1

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

Schritt 2

Fixen mit OTL
Code:

:OTL
MOD - [2011.04.07 21:37:49 | 000,724,480 | ---- | M] () -- C:\WINDOWS\system32\smvbqifn.dll
SRV - [2011.04.07 21:37:49 | 000,724,480 | ---- | M] () [Auto | Stopped] -- C:\WINDOWS\system32\smvbqifn.dll -- (iipvovqc)
SRV - File not found [Auto | Stopped] -- -- (crededit40.exe)
SRV - File not found [On_Demand | Stopped] -- -- (Boonty Games)
O2 - BHO: () - {B79FB2B4-CDF1-A4A1-9EEC-74229876CECA} - C:\WINDOWS\system32\smvbqifn.dll ()
O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {30F9B915-B755-4826-820B-08FBA6BD249D} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} - No CLSID value found.
O4 - HKLM..\Run: [adad95News] File not found
O4 - HKLM..\Run: [Regedit32] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk = C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe (McAfee, Inc.)
O20 - AppInit_DLLs: (iassvc10.dll) - File not found
O29 - HKLM SecurityProviders - (maohrybt.dll) - C:\WINDOWS\System32\maohrybt.dll (Yyjsl Software)
NetSvcs: iipvovqc - C:\WINDOWS\system32\smvbqifn.dll ()
[2011.04.09 18:51:08 | 000,000,000 | ---D | C] -- C:\.Trash-999
[2011.04.08 10:57:53 | 000,031,744 | ---- | C] (Yyjsl Software) -- C:\WINDOWS\System32\maohrybt.dll
[2011.04.07 21:37:49 | 000,724,480 | ---- | M] () -- C:\WINDOWS\System32\smvbqifn.dll
[2011.04.07 23:46:54 | 000,011,421 | ---- | M] () -- C:\WINDOWS\System32\GnuHashes.ini
@Alternate Data Stream - 229 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0
@Alternate Data Stream - 16 bytes -> C:\Dokumente und Einstellungen\Sonja\Eigene Dateien\Shareaza Downloads:Shareaza.GUID
@Alternate Data Stream - 108 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5A8F8A0C
@Alternate Data Stream - 103 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:59846E5E
:Files
c:\windows\system32\mfvteirs.dll
C:\.Trash-999
c:\windows\system32\tmp.tmp
:Commands
[purity]
[emptytemp]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

Schritt 3

Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Quick-Scan durchführen und drücke auf Scannen.
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

sonja0 19.04.2011 09:28
Ok, jetzt hab ich's glaub ich kapiert - lesen, lesen , lesen. Hab jetzt erst bemerkt, daß ich mich wieder im im Forum anmelden muß, damit ich über neue Einträge informiert werde und die zweite Seite im Thread hatte ich gestern natürlich auf nicht registriert.
Also hier mal die Daten von OTL:

All processes killed
========== OTL ==========
Error: No service named iipvovqc was found to stop!
Service\Driver key iipvovqc not found.
File C:\WINDOWS\system32\smvbqifn.dll not found.
Service crededit40.exe stopped successfully!
Service crededit40.exe deleted successfully!
Error: No service named Boonty Games was found to stop!
Service\Driver key Boonty Games not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B79FB2B4-CDF1-A4A1-9EEC-74229876CECA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B79FB2B4-CDF1-A4A1-9EEC-74229876CECA}\ not found.
File C:\WINDOWS\system32\smvbqifn.dll not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{3041D03E-FD4B-44E0-B742-2D9B88305F98} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3041D03E-FD4B-44E0-B742-2D9B88305F98}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{30F9B915-B755-4826-820B-08FBA6BD249D} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CC05A3E3-64C3-4AF2-BFC1-AF0D66B69065}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F} not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E9911EC6-1BCC-40B0-9993-E0EEA7F6953F}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\adad95News not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Regedit32 not found.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\McAfee Security Scan Plus.lnk moved successfully.
C:\Programme\McAfee Security Scan\2.0.181\SSScheduler.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\\SecurityProviders:maohrybt.dll deleted successfully.
C:\WINDOWS\system32\maohrybt.dll moved successfully.
iipvovqc removed from NetSvcs value successfully!
File C:\WINDOWS\system32\smvbqifn.dll not found.
C:\.Trash-999\info folder moved successfully.
C:\.Trash-999\files folder moved successfully.
C:\.Trash-999\expunged folder moved successfully.
C:\.Trash-999 folder moved successfully.
File C:\WINDOWS\System32\maohrybt.dll not found.
File C:\WINDOWS\System32\smvbqifn.dll not found.
C:\WINDOWS\system32\GnuHashes.ini moved successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:8FF81EB0 deleted successfully.
Unable to delete ADS C:\Dokumente und Einstellungen\Sonja\Eigene Dateien\Shareaza Downloads:Shareaza.GUID .
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5A8F8A0C deleted successfully.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:59846E5E deleted successfully.
========== FILES ==========
c:\windows\system32\mfvteirs.dll moved successfully.
File\Folder C:\.Trash-999 not found.
File move failed. c:\windows\system32\tmp.tmp scheduled to be moved on reboot.
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 642384 bytes
->Temporary Internet Files folder emptied: 4764488 bytes
->Java cache emptied: 7140 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 649 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Dr. Ulmer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: DR8186~1~ULM

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 229510 bytes
->Flash cache emptied: 1239 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
->Flash cache emptied: 886 bytes

User: Sonja
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 5537862 bytes
->Java cache emptied: 7314 bytes
->Flash cache emptied: 434 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 6830135 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 17,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04192011_101930

Files\Folders moved on Reboot...
c:\windows\system32\tmp.tmp moved successfully.

Registry entries deleted on Reboot...


Malwarebytes folgt.

lG

Sonja

sonja0 19.04.2011 09:58
So und hier ist jetzt Malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
Malwarebytes

Datenbank Version: 6395

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19.4.2011 10:54:02
mbam-log-2011-04-19 (10-54-02).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 197655
Laufzeit: 3 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{500BCA15-57A7-4EAF-8143-8C619470B13D} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Der Download vom angegebenen Link hat übrigens nicht funktioniert. Warum ist mir völlig schleierhaft, ich konnte auf der filepony-Seite auf die Links klicken so viel ich will es ist einfach gar nichts passiert (auch keine Warnmeldung, daß der download geblockt wurde). Ich hab das Programm dann von chip.de runtergeladen - ich hoffe das ist ok so.

lG

Sonja

Swisstreasure 19.04.2011 10:05
Und wie läuft das System zur Zeit?

sonja0 19.04.2011 10:18
Sieht gut aus. Das einzig auffällige ist derzeit noch folgende Meldung:

RunDLL
Fehler beim Laden von C:\WINDOWS\kbkbdbms.dll
Das angegebene Modul wurde nicht gefunden.

Aber nur wenn ich den User "Sonja" anmelde, bei den anderen nicht.

Scheint aber ansonsten wieder alles normal zu funktionieren. Ist mein Rechner jetzt wieder sauber?

Swisstreasure 19.04.2011 11:51
Noch nicht ;)

Also ist Sonja das AdministratorKonto?

sonja0 19.04.2011 19:40
Nein, "Sonja" hat eingeschränkte Benutzerrechte - war aber bis vor kurzem (leider) Administratorkonto. Hab ich nach dem Virenbefall zurückgenommen.

lG

Sonja

Swisstreasure 19.04.2011 20:53
Führe nochmals OTL aus aber im Adminkonto:

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

sonja0 20.04.2011 11:11
Hier die OTL.txt
Extra.txt kann ich komischerweise keine finden weder am Desktop noch mithilfe der Dateisuche. Hab ich was falsch gemacht?OTL Logfile:
Code:
OTL logfile created on: 20.4.2011 11:49:36 - Run 2
OTL by OldTimer - Version 3.2.22.3    Folder = C:\Dokumente und Einstellungen\Admin\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: d.M.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 66,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 84,00% Paging File free
Paging file location(s): c:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 83,24 Gb Total Space | 15,64 Gb Free Space | 18,79% Space Free | Partition Type: NTFS
Drive D: | 214,84 Gb Total Space | 214,77 Gb Free Space | 99,97% Space Free | Partition Type: NTFS
Drive M: | 83,24 Gb Total Space | 15,64 Gb Free Space | 18,79% Space Free | Partition Type: NTFS
 
Computer Name: BUERO | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.04.17 15:00:40 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
PRC - [2011.01.05 12:59:50 | 000,037,664 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2010.08.12 00:58:00 | 000,173,352 | ---- | M] (CyberLink Corp.) -- C:\Programme\CyberLink\YouCam\YouCamTray.exe
PRC - [2010.06.29 22:12:38 | 000,070,144 | ---- | M] (AlcaTech) -- C:\WINDOWS\system32\mmrtkrnl.exe
PRC - [2009.11.17 12:25:10 | 000,435,488 | ---- | M] (Pervasive Software Inc.) -- C:\Programme\Pervasive Software\PSQL\bin\w3dbsmgr.exe
PRC - [2009.09.24 15:41:58 | 000,434,176 | ---- | M] (Sony Ericsson Mobile Communications AB) -- C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
PRC - [2009.08.27 10:04:06 | 000,122,368 | ---- | M] (Google Inc.) -- C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe
PRC - [2009.08.26 10:25:28 | 000,662,016 | ---- | M] (Sonix) -- C:\WINDOWS\vsnp2uvc.exe
PRC - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.06.22 12:53:36 | 001,215,488 | ---- | M] (ArzooSoft Solutions) -- C:\Programme\ArzooSoft Solutions\USB Threat Defender\utdefender.exe
PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.04.30 13:23:26 | 000,090,112 | ---- | M] () -- C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.07.22 23:44:06 | 000,357,376 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe
PRC - [2008.05.08 01:29:38 | 000,122,880 | ---- | M] (CrypKey (Canada) Ltd.) -- C:\WINDOWS\system32\Crypserv.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.06.01 10:21:30 | 001,209,904 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
PRC - [2007.06.01 10:21:30 | 000,271,920 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
PRC - [2007.06.01 10:21:08 | 000,153,136 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
PRC - [2007.03.02 17:43:14 | 000,094,208 | ---- | M] (Citrix Systems) -- C:\Programme\DynamicUSB\DynamicUSB.exe
PRC - [2003.04.09 18:21:38 | 000,147,456 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
PRC - [2003.04.09 18:11:12 | 000,028,672 | ---- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
PRC - [2003.04.09 17:49:36 | 000,286,720 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
PRC - [2003.04.09 17:41:38 | 000,323,646 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.04.17 15:00:40 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2008.04.14 04:22:15 | 000,072,192 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msacm32.dll
MOD - [2008.04.14 04:22:06 | 001,852,928 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\AppPatch\acgenral.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] --  -- (AMService)
SRV - [2011.01.05 12:59:50 | 000,037,664 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2010.09.01 16:51:28 | 000,066,112 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2010.01.15 14:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
SRV - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009.04.30 13:23:26 | 000,090,112 | ---- | M] () [Auto | Running] -- C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe -- (OMSI download service)
SRV - [2008.10.24 16:17:52 | 000,145,248 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2008.05.08 01:29:38 | 000,122,880 | ---- | M] (CrypKey (Canada) Ltd.) [Auto | Running] -- C:\WINDOWS\System32\Crypserv.exe -- (Crypkey License)
SRV - [2007.06.01 10:21:30 | 000,271,920 | ---- | M] (Nero AG) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2003.03.09 22:31:02 | 000,065,795 | ---- | M] (HP) [On_Demand | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.12.08 19:18:05 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.06.23 10:37:10 | 003,486,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\snp2uvc.sys -- (SNP2UVC) USB2.0 PC Camera (SNP2UVC)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.04.23 17:24:26 | 000,016,640 | ---- | M] (Wondershare) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\WsAudio_DeviceS(1).sys -- (WsAudio_DeviceS(1)) WsAudio_DeviceS(1)
DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.03.30 04:09:28 | 000,239,336 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\RsFx0103.sys -- (RsFx0103)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.10.16 15:14:00 | 000,030,720 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\l251x86.sys -- (AtcL002)
DRV - [2008.05.16 13:33:14 | 000,115,752 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016unic.sys -- (s0016unic) Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM)
DRV - [2008.05.16 13:33:14 | 000,025,512 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016nd5.sys -- (s0016nd5) Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS)
DRV - [2008.05.16 13:33:14 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016mdfl.sys -- (s0016mdfl)
DRV - [2008.05.16 13:33:12 | 000,120,744 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016mdm.sys -- (s0016mdm)
DRV - [2008.05.16 13:33:12 | 000,114,216 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016mgmt.sys -- (s0016mgmt) Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM)
DRV - [2008.05.16 13:33:12 | 000,110,632 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016obex.sys -- (s0016obex)
DRV - [2008.05.16 13:33:12 | 000,089,256 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016bus.sys -- (s0016bus) Sony Ericsson Device 0016 driver (WDM)
DRV - [2008.03.17 18:45:52 | 000,019,584 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\ckldrv.sys -- (NetworkX)
DRV - [2008.01.15 11:44:08 | 000,063,360 | R--- | M] (MCCI) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\zebrceb.sys -- (zebrceb) Sony Ericsson Cable Emulation Bus (WDM)
DRV - [2008.01.09 11:28:34 | 000,027,632 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\seehcri.sys -- (seehcri)
DRV - [2007.05.11 03:10:50 | 000,034,704 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\blueletaudio.sys -- (BlueletAudio)
DRV - [2007.05.09 01:59:40 | 000,036,496 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btcusb.sys -- (Btcsrusb)
DRV - [2007.03.05 06:00:04 | 000,027,792 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - [2007.03.05 05:59:04 | 000,018,320 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btnetdrv.sys -- (BT)
DRV - [2007.03.05 05:56:18 | 000,035,600 | ---- | M] (IVT Corporation.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - [2007.03.05 05:55:12 | 000,020,880 | ---- | M] (IVT Corporation.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - [2007.03.05 05:53:18 | 000,044,304 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VcommMgr.sys -- (VcommMgr)
DRV - [2007.03.05 05:52:18 | 000,034,448 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VComm.sys -- (VComm)
DRV - [2007.03.01 19:27:00 | 004,484,608 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.11.21 22:41:18 | 000,022,416 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Stopped] -- C:\Programme\IVT Corporation\BlueSoleil\device\Win2k\BTNetFilter.sys -- (BTNetFilter)
DRV - [2004.08.14 04:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2002.02.04 10:34:42 | 000,008,960 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbbc.sys -- (Wdm1)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Google Toolbar
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
FF - HKLM\software\mozilla\Firefox\extensions\\{3112ca9c-de6d-4884-a869-9855de68056c}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c} [2010.12.23 16:50:40 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2011.04.18 14:46:19 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll (Google Inc.)
O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [Google Quick Search Box] C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe (Google Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [Realtime Audio Engine] C:\WINDOWS\System32\mmrtkrnl.exe (AlcaTech)
O4 - HKLM..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe (Sonix)
O4 - HKLM..\Run: [WSS_DYNAMICUSB] C:\Programme\DynamicUSB\DynamicUSB.exe (Citrix Systems)
O4 - HKLM..\Run: [WSS_DYNAMICUSB1] C:\Programme\DynamicUSB\DynamicUSB.cmd ()
O4 - HKLM..\Run: [YouCam Mirror Tray icon] C:\Programme\CyberLink\YouCam\YouCamTray.exe (CyberLink Corp.)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [H/PC Connection Agent]  File not found
O4 - HKCU..\Run: [Sony Ericsson PC Suite] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe (Sony Ericsson Mobile Communications AB)
O4 - HKCU..\Run: [USB Threat Defender] C:\Programme\ArzooSoft Solutions\USB Threat Defender\utdefender.exe (ArzooSoft Solutions)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Start Pervasive PSQL Workgroup Engine.lnk = C:\WINDOWS\Installer\{0A3238D7-AB32-1030-B717-F3E3F18B4A8C}\WGE.14A03FCD_EA43_4130_A5C0_F02D38895A13.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll (Google Inc.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKCU\..Trusted Domains: localhost ([]http in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: GD ([http] in Lokales Intranet)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (BDSCANONLINE Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219139452390 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1249477122156 (MUWebControl Class)
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab (HP Download Manager)
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} hxxp://games.bigfishgames.com/de_luxoramunrisingeu/online/mjolauncher.cab (MJLauncherCtrl Class)
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab (Facebook Photo Uploader 5 Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D} hxxp://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab (DDRevision Class)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.254
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O29 - HKLM SecurityProviders - (mfvteirs.dll) -  File not found
O29 - HKLM SecurityProviders - (mutrwpmo.dll) -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.08.19 10:25:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer4 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: VIDC.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: VIDC.IYUV - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: VIDC.UYVY - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YUY2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: VIDC.YVU9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVYU - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave4 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (58841880883888128)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.04.19 10:48:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
[2011.04.19 10:47:58 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.04.19 10:47:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.04.19 10:47:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.04.19 10:47:54 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.04.19 10:47:53 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.04.19 10:19:37 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.04.19 10:19:30 | 000,000,000 | ---D | C] -- C:\_OTL
[2011.04.17 19:22:40 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2011.04.17 19:16:00 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2011.04.17 19:16:00 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2011.04.17 19:16:00 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2011.04.17 19:16:00 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2011.04.17 19:15:45 | 000,000,000 | ---D | C] -- C:\Combo-Fix
[2011.04.17 19:15:16 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.04.17 17:37:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip
[2011.04.17 17:37:23 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip
[2011.04.17 15:24:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.04.17 15:24:04 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2011.04.17 15:24:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ERUNT
[2011.04.17 14:53:15 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2011.04.10 11:54:25 | 000,000,000 | ---D | C] -- C:\Fotos
[2011.04.08 00:01:59 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security
[2011.04.07 23:41:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\2EB8B47B37B7841B671675EFCF9F0D34
[2011.04.07 21:25:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2011.04.07 21:24:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2011.04.06 20:53:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avanquest
[2010.11.25 13:55:09 | 000,196,608 | ---- | C] ( ) -- C:\WINDOWS\System32\csnp2uvc.dll
[2010.11.25 13:55:06 | 000,241,664 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnp2uvc.dll
[2009.04.20 15:26:47 | 000,774,144 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\RngInterstitial.dll
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.04.20 11:50:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{5916B645-CE8E-44E7-97DF-93935BDDA4D8}.job
[2011.04.20 11:49:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{F53129B4-9B29-4728-97D8-71C5C9AD14C0}.job
[2011.04.20 11:49:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{C4ED1B34-A2AA-4DF7-953B-CEEEDC61F816}.job
[2011.04.20 11:41:02 | 000,002,521 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Start Pervasive PSQL Workgroup Engine.lnk
[2011.04.20 11:40:31 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.04.20 11:40:29 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.04.20 11:26:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.04.20 06:00:51 | 000,000,306 | ---- | M] () -- C:\WINDOWS\tasks\Spybot - Search & Destroy Updater -  Scheduled Task.job
[2011.04.19 14:05:00 | 000,000,382 | ---- | M] () -- C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1247141065.job
[2011.04.19 11:11:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.04.19 10:47:58 | 000,000,797 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.04.19 10:19:32 | 000,610,182 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.04.19 10:19:32 | 000,573,820 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.04.19 10:19:32 | 000,147,460 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.04.19 10:19:32 | 000,124,192 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.04.18 21:42:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011.04.18 14:46:19 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.04.18 09:02:32 | 000,148,400 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.04.18 08:42:23 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.04.18 08:35:17 | 002,004,062 | ---- | M] () -- C:\WINDOWS\iis6.BAK
[2011.04.18 08:30:03 | 000,000,127 | ---- | M] () -- C:\WINDOWS\System32\MRT.INI
[2011.04.17 19:32:22 | 2138,324,992 | ---- | M] () -- C:\WINDOWS\MEMORY.DMP
[2011.04.17 19:22:45 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2011.04.17 19:08:37 | 000,000,119 | ---- | M] () -- C:\WINDOWS\Crypkey.ini
[2011.04.17 15:00:40 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2011.04.08 18:35:02 | 000,000,488 | ---- | M] () -- C:\hpfr5550.xml
[2011.04.08 15:29:44 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\E-Mail.lnk
[2011.04.08 03:17:26 | 000,102,400 | ---- | M] () -- C:\WINDOWS\RegBootClean.exe
[2011.04.07 21:11:34 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.04.06 20:58:54 | 000,001,755 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader X.lnk
[2011.04.06 19:59:20 | 000,000,000 | ---- | M] () -- C:\WINDOWS\txtDef
[2011.04.04 13:12:00 | 000,147,456 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.04.04 08:11:18 | 000,000,326 | ---- | M] () -- C:\WINDOWS\tasks\Spybot - Search & Destroy -  Scheduled Task.job
[2011.03.31 11:04:32 | 000,000,885 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Verknüpfung mit SERVER @ Praxis TELFS.RDP.lnk
[2011.03.31 10:11:37 | 000,000,000 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Default.rdp
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.04.19 10:47:58 | 000,000,797 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.04.18 08:30:03 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2011.04.17 19:22:44 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2011.04.17 19:22:42 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2011.04.17 19:16:00 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.04.17 19:16:00 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.04.17 19:16:00 | 000,089,088 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.04.17 19:16:00 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.04.17 19:16:00 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.04.08 15:29:44 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\E-Mail.lnk
[2011.04.08 03:16:20 | 000,102,400 | ---- | C] () -- C:\WINDOWS\RegBootClean.exe
[2011.04.06 19:59:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\txtDef
[2011.03.31 11:04:32 | 000,000,885 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Verknüpfung mit SERVER @ Praxis TELFS.RDP.lnk
[2011.03.31 10:11:37 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Default.rdp
[2011.03.31 09:50:46 | 000,114,176 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\winbox.exe
[2010.12.14 11:26:47 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2010.11.25 14:26:37 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.11.25 13:55:09 | 003,486,336 | ---- | C] () -- C:\WINDOWS\System32\drivers\snp2uvc.sys
[2010.11.25 13:55:09 | 000,028,544 | ---- | C] () -- C:\WINDOWS\System32\drivers\sncduvc.sys
[2010.11.25 13:55:09 | 000,015,497 | ---- | C] () -- C:\WINDOWS\snp2uvc.ini
[2010.11.25 13:55:00 | 000,172,103 | ---- | C] () -- C:\WINDOWS\BM.exe
[2010.11.22 09:18:59 | 000,002,560 | ---- | C] () -- C:\WINDOWS\_MSRSTRT.EXE
[2010.11.15 12:50:48 | 000,000,073 | ---- | C] () -- C:\WINDOWS\spmail.ini
[2010.11.15 12:50:48 | 000,000,045 | ---- | C] () -- C:\WINDOWS\CARDTERM.INI
[2010.11.15 12:46:39 | 000,162,304 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.EXE
[2010.11.15 12:46:39 | 000,006,667 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.INI
[2010.11.11 15:14:25 | 000,175,104 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2010.11.11 15:14:21 | 000,427,520 | ---- | C] () -- C:\WINDOWS\System32\XPBurnObj.dll
[2010.11.11 15:14:20 | 000,299,008 | ---- | C] () -- C:\WINDOWS\System32\CepemDLL.dll
[2010.11.02 06:14:36 | 000,000,004 | ---- | C] () -- C:\WINDOWS\vx86036.dat
[2010.11.02 06:13:00 | 000,000,119 | ---- | C] () -- C:\WINDOWS\Crypkey.ini
[2010.11.02 06:12:54 | 000,027,648 | R--- | C] () -- C:\WINDOWS\Setup_ck.exe
[2010.11.02 06:12:54 | 000,019,584 | ---- | C] () -- C:\WINDOWS\System32\Ckldrv.sys
[2010.11.02 06:12:54 | 000,018,432 | ---- | C] () -- C:\WINDOWS\Setup_ck.dll
[2010.11.02 06:12:54 | 000,011,776 | ---- | C] () -- C:\WINDOWS\Ckrfresh.exe
[2010.03.20 00:46:16 | 000,290,816 | ---- | C] () -- C:\WINDOWS\System32\decdll.dll
[2009.11.17 14:16:38 | 000,000,392 | ---- | C] () -- C:\WINDOWS\System32\BTRDRVR.SYS
[2009.09.25 18:10:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2009.08.04 16:42:16 | 000,030,860 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2009.08.01 18:03:06 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009.07.13 11:00:26 | 000,147,456 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.07.05 21:33:18 | 000,000,214 | ---- | C] () -- C:\WINDOWS\HP_48BitScanUpdatePatch.ini
[2009.07.05 21:27:50 | 000,019,554 | ---- | C] () -- C:\WINDOWS\hpoins01.dat
[2009.07.05 21:27:50 | 000,016,606 | ---- | C] () -- C:\WINDOWS\hpomdl01.dat
[2009.04.21 17:10:27 | 000,000,022 | ---- | C] () -- C:\WINDOWS\iexplore.ini
[2009.03.26 09:25:49 | 000,004,096 | ---- | C] () -- C:\WINDOWS\d3dx.dat
[2009.03.13 16:14:53 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\$_hpcst$.hpc
[2009.01.30 18:29:04 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2009.01.30 18:29:04 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2009.01.29 12:27:09 | 000,033,061 | ---- | C] () -- C:\WINDOWS\king-uninstall.exe
[2009.01.28 18:18:36 | 000,003,953 | ---- | C] () -- C:\WINDOWS\System32\coinst.dll
[2009.01.28 18:16:35 | 000,008,960 | ---- | C] () -- C:\WINDOWS\System32\drivers\usbbc.sys
[2009.01.28 18:06:42 | 000,000,075 | ---- | C] () -- C:\WINDOWS\USBBC.ini
[2009.01.28 18:06:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\MDI.INI
[2009.01.28 17:39:57 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.01.05 14:44:10 | 000,053,248 | ---- | C] () -- C:\WINDOWS\bdoscandel.exe
[2009.01.05 14:44:10 | 000,000,483 | ---- | C] () -- C:\WINDOWS\bdoscandellang.ini
[2008.08.19 13:33:28 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.08.19 11:16:14 | 000,004,617 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.08.19 11:13:36 | 000,148,400 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008.08.19 10:51:42 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2008.08.19 10:48:21 | 000,200,704 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4704.dll
[2008.08.19 10:41:46 | 000,013,005 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini
[2008.08.19 10:40:58 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2008.08.19 10:40:57 | 000,012,687 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008.08.19 10:40:46 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008.08.19 10:27:40 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.08.19 10:23:41 | 000,022,908 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2007.10.29 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2007.10.29 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2007.10.29 14:00:00 | 000,610,182 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2007.10.29 14:00:00 | 000,573,820 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2007.10.29 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2007.10.29 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2007.10.29 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2007.10.29 14:00:00 | 000,150,784 | ---- | C] () -- C:\WINDOWS\System32\agejkcps.dat
[2007.10.29 14:00:00 | 000,147,460 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2007.10.29 14:00:00 | 000,135,936 | ---- | C] () -- C:\WINDOWS\System32\npphufah.dat
[2007.10.29 14:00:00 | 000,124,192 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2007.10.29 14:00:00 | 000,058,112 | ---- | C] () -- C:\WINDOWS\System32\ohugcvbj.dat
[2007.10.29 14:00:00 | 000,050,432 | ---- | C] () -- C:\WINDOWS\System32\kkabvaec.dat
[2007.10.29 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2007.10.29 14:00:00 | 000,039,680 | ---- | C] () -- C:\WINDOWS\System32\erhnnatm.dat
[2007.10.29 14:00:00 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\immvrnbn.dat
[2007.10.29 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2007.10.29 14:00:00 | 000,031,488 | ---- | C] () -- C:\WINDOWS\System32\ghlkrcah.dat
[2007.10.29 14:00:00 | 000,030,464 | ---- | C] () -- C:\WINDOWS\System32\xcumtbuq.dat
[2007.10.29 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2007.10.29 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2007.10.29 14:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2007.10.29 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2007.10.29 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.03.09 22:31:04 | 000,561,152 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[1996.12.14 01:00:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\WRKGADM.EXE
[1996.12.14 01:00:00 | 000,025,600 | ---- | C] () -- C:\WINDOWS\System32\VADE232.DLL
[1996.12.14 01:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\ODBCSTF.DLL
[1996.12.14 01:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
 
========== LOP Check ==========
 
[2010.11.24 10:57:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Buchner
[2010.03.20 01:16:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\CocoonSoftware
[2010.11.13 18:08:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\DrekSoftware
[2010.06.28 17:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Enplase
[2010.03.20 00:46:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FreeVideoConverter
[2009.04.20 15:09:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GameHouse
[2011.01.30 00:13:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GetRightToGo
[2010.11.25 15:15:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICAClient
[2010.08.21 19:16:35 | 000,000,000 | RH-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\JAM Software
[2009.03.14 19:13:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Jane s Hotel
[2011.04.07 21:16:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OfficeUpdate12
[2009.07.04 15:59:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Panda Security
[2010.05.04 22:15:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sahmon Games
[2009.09.23 23:32:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Systweak
[2010.11.17 10:46:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TeamViewer
[2009.08.04 21:58:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Teleca
[2009.09.23 23:07:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Uniblue
[2009.04.24 01:43:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Zylom
[2010.12.28 20:46:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AlcaTech
[2011.04.06 20:53:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avanquest
[2009.08.04 21:17:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth
[2009.04.19 18:21:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BOONTY
[2009.09.18 14:00:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
[2010.05.02 16:59:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameHouse
[2009.06.28 17:29:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Giveaway Ashtons Family Resort
[2009.04.06 07:51:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gold Casual Games
[2011.01.21 06:55:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jGfHf01816
[2009.05.18 20:24:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MumboJumbo
[2009.04.20 15:09:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\n7-89-o9-3r-4t-r9
[2010.11.24 18:11:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Navato GmbH
[2009.07.04 15:55:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Panda Security
[2009.06.10 10:48:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
[2011.03.01 13:48:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pervasive Software
[2010.05.05 13:22:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
[2009.12.25 11:37:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
[2009.08.04 21:55:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
[2010.11.25 13:55:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2009.04.20 14:05:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
[2010.04.20 08:49:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009.11.20 19:13:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009.08.04 02:00:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[2011.04.19 14:05:00 | 000,000,382 | ---- | M] () -- C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1247141065.job
[2009.10.06 21:32:00 | 000,000,334 | ---- | M] () -- C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1246822280.job
[2011.04.20 11:50:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{5916B645-CE8E-44E7-97DF-93935BDDA4D8}.job
[2011.04.20 11:49:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{C4ED1B34-A2AA-4DF7-953B-CEEEDC61F816}.job
[2011.04.20 11:49:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{F53129B4-9B29-4728-97D8-71C5C9AD14C0}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2011.01.07 16:18:58 | 000,000,000 | ---- | M] () -- C:\ASPI.LOG
[2008.08.19 10:25:56 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2009.09.23 22:42:34 | 000,000,211 | ---- | M] () -- C:\Boot.bak
[2011.04.17 19:22:45 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2007.10.29 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2009.02.05 20:18:15 | 000,512,680 | ---- | M] (Google Inc.) -- C:\ChromeSetup.exe
[2010.11.02 06:14:23 | 000,000,120 | ---- | M] () -- C:\CKINFO.TXT
[2004.08.03 23:00:10 | 000,262,448 | RHS- | M] () -- C:\cmldr
[2011.04.18 14:50:39 | 000,036,246 | ---- | M] () -- C:\ComboFix.txt
[2008.08.19 10:25:56 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2009.04.20 20:39:26 | 000,000,575 | ---- | M] () -- C:\DownloadLog.txt
[2009.11.29 00:32:59 | 000,000,052 | ---- | M] () -- C:\favorites.xml
[2011.02.21 19:02:32 | 000,006,710 | ---- | M] () -- C:\fpRedmon.log
[2009.01.30 18:29:02 | 001,593,856 | ---- | M] (Microsoft Corporation) -- C:\FreePDFXP3.26.EXE
[2011.01.21 06:33:40 | 001,228,854 | ---- | M] () -- C:\fsqwr.bmp
[2009.01.30 18:28:11 | 014,275,584 | ---- | M] () -- C:\gs862w32.exe
[2009.07.09 14:38:21 | 000,000,000 | ---- | M] () -- C:\hpfr3420.xml
[2009.07.09 14:38:22 | 000,001,508 | ---- | M] () -- C:\hpfr3425.log
[2011.04.08 18:35:02 | 000,000,488 | ---- | M] () -- C:\hpfr5550.xml
[2008.08.19 10:25:56 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2009.01.30 19:14:31 | 001,345,024 | ---- | M] (Irfan Skiljan) -- C:\iview423_setup.exe
[2008.08.19 10:25:56 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2007.10.29 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2008.08.19 11:18:58 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2011.04.19 11:11:38 | 2145,386,496 | -HS- | M] () -- C:\pagefile.sys
[2008.08.19 10:51:44 | 000,000,571 | ---- | M] () -- C:\RHDSetup.log
[2010.11.25 14:16:03 | 000,614,424 | ---- | M] () -- C:\snp2uvc-001.raw
[2010.12.14 15:25:34 | 000,000,012 | ---- | M] () -- C:\spyhunter.fix
[2009.07.08 16:33:33 | 000,000,000 | ---- | M] () -- C:\Tech_Vista.log
[2010.04.27 02:56:25 | 000,026,090 | ---- | M] () -- C:\wbk.rtf
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2009.03.06 15:56:36 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2008.07.06 14:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2007.04.09 13:23:54 | 000,028,552 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll
[2008.07.06 12:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
[2010.05.04 22:15:39 | 000,237,568 | ---- | M] (Sahmon Studio) -- C:\WINDOWS\IncaBallCave.scr
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
[2009.04.20 15:26:43 | 000,774,144 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\RngInterstitial.dll
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2009.03.06 16:43:15 | 000,786,432 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2009.03.06 15:32:33 | 000,262,144 | ---- | M] () -- C:\WINDOWS\system32\config\security.sav
[2009.03.06 16:43:15 | 020,185,088 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2009.03.06 16:43:15 | 004,194,304 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 04:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 04:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
 
 
< MD5 for: EXPLORER.EXE  >
[2007.10.29 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ERDNT\cache\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
 
< MD5 for: WINLOGON.EXE  >
[2007.10.29 14:00:00 | 000,512,000 | ---- | M] (Microsoft Corporation) MD5=00F0521FB60946D16AFA483C2FE68F34 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ERDNT\cache\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-04-18 06:46:23
 
<          >

< End of report >
--- --- ---


lG

Sonja

Swisstreasure 20.04.2011 14:57
Schritt 2

Fixen mit OTL
Code:

:OTL
O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - No CLSID value found.
O29 - HKLM SecurityProviders - (mfvteirs.dll) -  File not found
O29 - HKLM SecurityProviders - (mutrwpmo.dll) -  File not found
:Commands
[purity]
[emptytemp]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

sonja0 20.04.2011 16:01
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}\ not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\\SecurityProviders:mfvteirs.dll deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\\SecurityProviders:mutrwpmo.dll deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 624691 bytes
->Temporary Internet Files folder emptied: 13382513 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 649 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Dr. Ulmer
->Temp folder emptied: 621873 bytes
->Temporary Internet Files folder emptied: 185482 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: DR8186~1~ULM

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: Sonja
->Temp folder emptied: 621873 bytes
->Temporary Internet Files folder emptied: 6301221 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 434 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 642 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 21,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04202011_165601

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


lG

Sonja

Swisstreasure 20.04.2011 20:11
Kommt die Meldung noch?

sonja0 20.04.2011 20:49
Ja, leider alles unverändert.

lG

Sonja

Swisstreasure 21.04.2011 17:25
Schritt 1

Rootkit-Suche mit Gmer

Was sind Rootkits?

Wichtig: Bei jedem Rootkit-Scans soll/en:
  • Deaktiviere zunächst nach dieser Anleitung evtl. vorhandene CD-Emulatoren wie Alcohol, Daemon-Tools oder ähnliche.
  • Alle anderen Programme gegen Viren, Spyware, usw. deaktiviert sein,
  • keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen),
  • nichts am Rechner getan werden,
  • nach jedem Scan der Rechner neu gestartet werden.
  • Nicht vergessen, nach dem Rootkit-Scan die Security-Programme wieder einzuschalten!

Lade Dir Gmer von dieser Seite herunter
(auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (hat einen willkürlichen Programm-Namen).
  • Vista-User mit Rechtsklick und als Administrator starten.
  • Gmer startet automatisch einen ersten Scan.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    Code:
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system?
  • Unbedingt auf "No" klicken,
    in dem Fall über den Save-Button das bisherige Resultat auf dem Desktop als gmer_first.log speichern.

    .
  • Falls das nicht der Fall war, wähle nun den Reiter "Rootkit/Malware",
  • Hake an: System, Sections, Devices, Modules, Processes, Threads, Libraries, Services, Registry und Files.
  • Wichtig: "Show all" darf nicht angehakt sein!
  • Starte den Scan durch Drücken des Buttons "Scan".
    Mache nichts am Computer während der Scan läuft (unten links wird angezeigt, was gerade gescannt wird).
  • Wenn der Scan fertig ist, bleibt die Zeile leer.
    Kllicke auf "Save" und speichere das Logfile als gmer.log auf dem Desktop.
    Mit "Ok" wird Gmer beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun das Logfile in Code-Tags posten.

Schritt 2

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
netsvcs
drivers32 /all
%SYSTEMDRIVE%\*.*
%systemroot%\system32\*.wt
%systemroot%\system32\*.ruy
%systemroot%\Fonts\*.com
%systemroot%\Fonts\*.dll
%systemroot%\Fonts\*.ini
%systemroot%\Fonts\*.ini2
%systemroot%\system32\spool\prtprocs\w32x86\*.*
%systemroot%\REPAIR\*.bak1
%systemroot%\REPAIR\*.ini
%systemroot%\system32\*.jpg
%systemroot%\*.scr
%systemroot%\*._sy
%APPDATA%\Adobe\Update\*.*
%ALLUSERSPROFILE%\Favorites\*.*
%APPDATA%\Microsoft\*.*
%PROGRAMFILES%\*.*
%APPDATA%\Update\*.*
%systemroot%\*. /mp /s
CREATERESTOREPOINT
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\user32.dll /md5
%systemroot%\system32\ws2_32.dll /md5
%systemroot%\system32\ws2help.dll /md5
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

sonja0 25.04.2011 14:13
Nachdem wir übers Osterwochenende überraschend weggefahren sind meld ich mich erst heute wieder. Bevor ich die o.a. Prozedur ausführe eine kurze Frage: Avira hat währen meiner Abwesenheit gescannt und folgenden Fund gemeldet:
Objekt: maohrybt.dll
Fund: TF/Mooplids.A.9

und fragt nun reparieren oder abbrechen?
Welche Option soll ich wählen? Soll ich danach vorgehen wie oben beschrieben?

lG

Sonja

Swisstreasure 25.04.2011 15:24
Scanne wie ich oben beschrieben habe.

sonja0 26.04.2011 07:36
Hier ist das Gmer-Logfile:
Code:
GMER 1.0.15.15570 - hxxp://www.gmer.net
Rootkit scan 2011-04-26 08:29:23
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP3T0L0-10 SAMSUNG_HD322HJ rev.1AC01118
Running: 12sbldxt.exe; Driver: C:\DOKUME~1\Admin\LOKALE~1\Temp\ugtdqpog.sys


---- System - GMER 1.0.15 ----

SSDT            BA7CE6B6                                                                                                ZwCreateKey
SSDT            BA7CE6AC                                                                                                ZwCreateThread
SSDT            BA7CE6BB                                                                                                ZwDeleteKey
SSDT            BA7CE6C5                                                                                                ZwDeleteValueKey
SSDT            BA7CE6CA                                                                                                ZwLoadKey
SSDT            BA7CE698                                                                                                ZwOpenProcess
SSDT            BA7CE69D                                                                                                ZwOpenThread
SSDT            BA7CE6D4                                                                                                ZwReplaceKey
SSDT            BA7CE6CF                                                                                                ZwRestoreKey
SSDT            BA7CE6C0                                                                                                ZwSetValueKey
SSDT            BA7CE6A7                                                                                                ZwTerminateProcess

---- User code sections - GMER 1.0.15 ----

.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2320] USER32.dll!DefWindowProcA + 11A    7E37C298 7 Bytes  JMP 10031D00 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2320] USER32.dll!SetWindowRgn + 2BD      7E37E7E5 7 Bytes  JMP 10031C70 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[2320] USER32.dll!SetClipboardData + 19D  7E38113B 7 Bytes  JMP 10031CE0 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[4272] USER32.dll!DefWindowProcA + 11A    7E37C298 7 Bytes  JMP 10031D00 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[4272] USER32.dll!SetWindowRgn + 2BD      7E37E7E5 7 Bytes  JMP 10031C70 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[4272] USER32.dll!SetClipboardData + 19D  7E38113B 7 Bytes  JMP 10031CE0 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[4948] USER32.dll!DefWindowProcA + 11A    7E37C298 7 Bytes  JMP 10031D00 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[4948] USER32.dll!SetWindowRgn + 2BD      7E37E7E5 7 Bytes  JMP 10031C70 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)
.text          C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe[4948] USER32.dll!SetClipboardData + 19D  7E38113B 7 Bytes  JMP 10031CE0 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\NewUI.dll (New UI/Avanquest Software)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                                                                                fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Control\Session Manager@PendingFileRenameOperations                        ???`Lo????????????????????????????????????????????????????????????????s???????s?????????{17CCA71B-ECD7-11D0-B908-00A0C9223196}??????? ???????C?????`?????`????$???????@????????????????????`????%SystemRoot%\system32\svchost.exe -k LocalService????????????D??????WZ??Konfigurationsfreie drahtlose Verbindung??????????????????????????s?????????????????????????????????????????????????????????? ??????????????s??????????????????????l?????W?V?W??.NT?Ho????&??`???C?????e0C??USB-Scannertreiber???A???? ??(???5??pC??system32\DRIVERS\USBSTOR.SYS?????????????????????????????????B??t????berwacht Systemsicherheitseinstellungen und -konfigurationen.??????Automatische Updates?c?? ???????????system32\drivers\wdmaud.sys???????"??`??????e????????????????????????????`???i?????noo?????????????????????? ???????????C:\WINDOWS\system32\wbem\wmiapsrv.exe???????????????t???Virtual Serial port driver?2\D?????? ?????????????Z??`????????h?????system32\DRIVERS\zebrceb.sys??????P??`???-???????e??e???e?????N??a??????D????????????`???`???`?????

---- EOF - GMER 1.0.15 ----

sonja0 26.04.2011 14:56
Und hier die OTL.txt:OTL Logfile:
Code:
OTL logfile created on: 26.4.2011 08:38:18 - Run 3
OTL by OldTimer - Version 3.2.22.3    Folder = C:\Dokumente und Einstellungen\Admin\Desktop
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)


Extra.txt ist nicht auffindbar.

lG

Sonja
Locale: 00000C07 | Country: Österreich | Language: DEA | Date Format: d.M.yyyy
 
2,00 Gb Total Physical Memory | 1,00 Gb Available Physical Memory | 40,00% Memory free
4,00 Gb Paging File | 3,00 Gb Available in Paging File | 68,00% Paging File free
Paging file location(s): c:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 83,24 Gb Total Space | 15,62 Gb Free Space | 18,77% Space Free | Partition Type: NTFS
Drive D: | 214,84 Gb Total Space | 214,77 Gb Free Space | 99,97% Space Free | Partition Type: NTFS
Drive M: | 83,24 Gb Total Space | 15,62 Gb Free Space | 18,77% Space Free | Partition Type: NTFS
 
Computer Name: BUERO | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.04.17 15:00:40 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
PRC - [2011.01.05 12:59:50 | 000,037,664 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2010.11.20 23:42:00 | 004,863,376 | ---- | M] () -- C:\Programme\Free Torrent Viewer\FreeTorrentViewer.exe
PRC - [2010.08.12 00:58:00 | 000,173,352 | ---- | M] (CyberLink Corp.) -- C:\Programme\CyberLink\YouCam\YouCamTray.exe
PRC - [2010.06.29 22:12:38 | 000,070,144 | ---- | M] (AlcaTech) -- C:\WINDOWS\system32\mmrtkrnl.exe
PRC - [2009.11.17 12:25:10 | 000,435,488 | ---- | M] (Pervasive Software Inc.) -- C:\Programme\Pervasive Software\PSQL\bin\w3dbsmgr.exe
PRC - [2009.10.11 05:17:45 | 000,386,872 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Java\jre6\bin\jucheck.exe
PRC - [2009.09.24 15:41:58 | 000,434,176 | ---- | M] (Sony Ericsson Mobile Communications AB) -- C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
PRC - [2009.08.27 10:04:06 | 000,122,368 | ---- | M] (Google Inc.) -- C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe
PRC - [2009.08.26 10:25:28 | 000,662,016 | ---- | M] (Sonix) -- C:\WINDOWS\vsnp2uvc.exe
PRC - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.06.22 12:53:36 | 001,215,488 | ---- | M] (ArzooSoft Solutions) -- C:\Programme\ArzooSoft Solutions\USB Threat Defender\utdefender.exe
PRC - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.04.30 13:23:26 | 000,090,112 | ---- | M] () -- C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
PRC - [2009.03.05 17:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
PRC - [2009.03.02 13:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2008.07.22 23:44:06 | 000,357,376 | ---- | M] (shbox.de) -- C:\Programme\FreePDF_XP\fpassist.exe
PRC - [2008.05.08 01:29:38 | 000,122,880 | ---- | M] (CrypKey (Canada) Ltd.) -- C:\WINDOWS\system32\Crypserv.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.06.01 10:21:30 | 001,209,904 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
PRC - [2007.06.01 10:21:30 | 000,271,920 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
PRC - [2007.06.01 10:21:08 | 000,153,136 | ---- | M] (Nero AG) -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
PRC - [2007.03.02 17:43:14 | 000,094,208 | ---- | M] (Citrix Systems) -- C:\Programme\DynamicUSB\DynamicUSB.exe
PRC - [2006.03.02 11:55:24 | 000,634,947 | ---- | M] (Intuwave Ltd.) -- C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterRuntime.exe
PRC - [2006.03.02 11:54:16 | 000,290,816 | ---- | M] (Intuwave Ltd.) -- C:\Programme\Intuwave\Shared\mRouterRuntime\mRouterConfig.exe
PRC - [2003.04.09 18:21:38 | 000,147,456 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
PRC - [2003.04.09 18:11:12 | 000,028,672 | ---- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
PRC - [2003.04.09 17:49:36 | 000,286,720 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
PRC - [2003.04.09 17:41:38 | 000,323,646 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
PRC - [1996.12.14 01:00:00 | 000,051,984 | ---- | M] () -- C:\Programme\Microsoft Office\Office\OSA.EXE
 
 
========== Modules (SafeList) ==========
 
MOD - [2011.04.17 15:00:40 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
MOD - [2010.08.23 18:11:46 | 001,054,208 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
MOD - [2008.04.14 04:22:15 | 000,072,192 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\msacm32.dll
MOD - [2008.04.14 04:22:06 | 001,852,928 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\AppPatch\acgenral.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] --  -- (AMService)
SRV - [2011.01.05 12:59:50 | 000,037,664 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2010.09.01 16:51:28 | 000,066,112 | ---- | M] (NOS Microsystems Ltd.) [On_Demand | Stopped] -- C:\Programme\NOS\bin\getPlus_Helper_3004.dll -- (nosGetPlusHelper) getPlus(R)
SRV - [2010.01.15 14:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
SRV - [2009.07.21 14:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 16:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2009.04.30 13:23:26 | 000,090,112 | ---- | M] () [Auto | Running] -- C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe -- (OMSI download service)
SRV - [2008.10.24 16:17:52 | 000,145,248 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2008.05.08 01:29:38 | 000,122,880 | ---- | M] (CrypKey (Canada) Ltd.) [Auto | Running] -- C:\WINDOWS\System32\Crypserv.exe -- (Crypkey License)
SRV - [2007.06.01 10:21:30 | 000,271,920 | ---- | M] (Nero AG) [On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe -- (NMIndexingService)
SRV - [2003.03.09 22:31:02 | 000,065,795 | ---- | M] (HP) [On_Demand | Stopped] -- C:\WINDOWS\system32\HPZipm12.exe -- (Pml Driver HPZ12)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2009.12.08 19:18:05 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.06.23 10:37:10 | 003,486,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\snp2uvc.sys -- (SNP2UVC) USB2.0 PC Camera (SNP2UVC)
DRV - [2009.05.11 10:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.04.23 17:24:26 | 000,016,640 | ---- | M] (Wondershare) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\WsAudio_DeviceS(1).sys -- (WsAudio_DeviceS(1)) WsAudio_DeviceS(1)
DRV - [2009.03.30 10:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.03.30 04:09:28 | 000,239,336 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\RsFx0103.sys -- (RsFx0103)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.10.16 15:14:00 | 000,030,720 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\l251x86.sys -- (AtcL002)
DRV - [2008.05.16 13:33:14 | 000,115,752 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016unic.sys -- (s0016unic) Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM)
DRV - [2008.05.16 13:33:14 | 000,025,512 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016nd5.sys -- (s0016nd5) Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS)
DRV - [2008.05.16 13:33:14 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016mdfl.sys -- (s0016mdfl)
DRV - [2008.05.16 13:33:12 | 000,120,744 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016mdm.sys -- (s0016mdm)
DRV - [2008.05.16 13:33:12 | 000,114,216 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016mgmt.sys -- (s0016mgmt) Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM)
DRV - [2008.05.16 13:33:12 | 000,110,632 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016obex.sys -- (s0016obex)
DRV - [2008.05.16 13:33:12 | 000,089,256 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\s0016bus.sys -- (s0016bus) Sony Ericsson Device 0016 driver (WDM)
DRV - [2008.03.17 18:45:52 | 000,019,584 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\ckldrv.sys -- (NetworkX)
DRV - [2008.01.15 11:44:08 | 000,063,360 | R--- | M] (MCCI) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\zebrceb.sys -- (zebrceb) Sony Ericsson Cable Emulation Bus (WDM)
DRV - [2008.01.09 11:28:34 | 000,027,632 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\seehcri.sys -- (seehcri)
DRV - [2007.05.11 03:10:50 | 000,034,704 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\blueletaudio.sys -- (BlueletAudio)
DRV - [2007.05.09 01:59:40 | 000,036,496 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btcusb.sys -- (Btcsrusb)
DRV - [2007.03.05 06:00:04 | 000,027,792 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - [2007.03.05 05:59:04 | 000,018,320 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\btnetdrv.sys -- (BT)
DRV - [2007.03.05 05:56:18 | 000,035,600 | ---- | M] (IVT Corporation.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - [2007.03.05 05:55:12 | 000,020,880 | ---- | M] (IVT Corporation.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - [2007.03.05 05:53:18 | 000,044,304 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VcommMgr.sys -- (VcommMgr)
DRV - [2007.03.05 05:52:18 | 000,034,448 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\VComm.sys -- (VComm)
DRV - [2007.03.01 19:27:00 | 004,484,608 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2006.11.21 22:41:18 | 000,022,416 | ---- | M] (IVT Corporation.) [Kernel | On_Demand | Stopped] -- C:\Programme\IVT Corporation\BlueSoleil\device\Win2k\BTNetFilter.sys -- (BTNetFilter)
DRV - [2004.08.14 04:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2002.02.04 10:34:42 | 000,008,960 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbbc.sys -- (Wdm1)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = Google Toolbar
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
FF - HKLM\software\mozilla\Firefox\extensions\\{3112ca9c-de6d-4884-a869-9855de68056c}: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c} [2010.12.23 16:50:40 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2011.04.18 14:46:19 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll (Google Inc.)
O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleSyncNotifier.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe (shbox.de)
O4 - HKLM..\Run: [Google Quick Search Box] C:\Programme\Google\Quick Search Box\GoogleQuickSearchBox.exe (Google Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [Realtime Audio Engine] C:\WINDOWS\System32\mmrtkrnl.exe (AlcaTech)
O4 - HKLM..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe (Sonix)
O4 - HKLM..\Run: [WSS_DYNAMICUSB] C:\Programme\DynamicUSB\DynamicUSB.exe (Citrix Systems)
O4 - HKLM..\Run: [WSS_DYNAMICUSB1] C:\Programme\DynamicUSB\DynamicUSB.cmd ()
O4 - HKLM..\Run: [YouCam Mirror Tray icon] C:\Programme\CyberLink\YouCam\YouCamTray.exe (CyberLink Corp.)
O4 - HKCU..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe (Nero AG)
O4 - HKCU..\Run: [H/PC Connection Agent]  File not found
O4 - HKCU..\Run: [Sony Ericsson PC Suite] C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe (Sony Ericsson Mobile Communications AB)
O4 - HKCU..\Run: [USB Threat Defender] C:\Programme\ArzooSoft Solutions\USB Threat Defender\utdefender.exe (ArzooSoft Solutions)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 1000 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Start Pervasive PSQL Workgroup Engine.lnk = C:\WINDOWS\Installer\{0A3238D7-AB32-1030-B717-F3E3F18B4A8C}\WGE.14A03FCD_EA43_4130_A5C0_F02D38895A13.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O8 - Extra context menu item: Google Sidewiki... - C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll (Google Inc.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKCU\..Trusted Domains: localhost ([]http in Lokales Intranet)
O15 - HKCU\..Trusted Ranges: GD ([http] in Lokales Intranet)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (BDSCANONLINE Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1219139452390 (WUWebControl Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1249477122156 (MUWebControl Class)
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab (HP Download Manager)
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} hxxp://games.bigfishgames.com/de_luxoramunrisingeu/online/mjolauncher.cab (MJLauncherCtrl Class)
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} hxxp://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab (Facebook Photo Uploader 5 Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {A9F8D9EC-3D0A-4A60-BD82-FBD64BAD370D} hxxp://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab (DDRevision Class)
O16 - DPF: {C7DB51B4-BCF7-4923-8874-7F1A0DC92277} hxxp://office.microsoft.com/officeupdate/content/opuc4.cab (Office Update Installation Engine)
O16 - DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab (Java Plug-in 1.6.0_17)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (get_atlcom Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.254
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008.08.19 10:25:56 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
Drivers32: aux - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: aux1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midi1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: midimapper - C:\WINDOWS\System32\midimap.dll (Microsoft Corporation)
Drivers32: mixer - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: mixer4 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.imaadpcm - C:\WINDOWS\System32\imaadp32.acm (Microsoft Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.msadpcm - C:\WINDOWS\System32\msadp32.acm (Microsoft Corporation)
Drivers32: msacm.msaudio1 - C:\WINDOWS\System32\msaud32.acm (Microsoft Corporation)
Drivers32: msacm.msg711 - C:\WINDOWS\System32\msg711.acm (Microsoft Corporation)
Drivers32: msacm.msg723 - C:\WINDOWS\System32\msg723.acm (Microsoft Corporation)
Drivers32: msacm.msgsm610 - C:\WINDOWS\System32\msgsm32.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIVX - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: VIDC.I420 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: VIDC.IYUV - C:\WINDOWS\System32\iyuv_32.dll (Microsoft Corporation)
Drivers32: vidc.M261 - C:\WINDOWS\System32\msh261.drv (Microsoft Corporation)
Drivers32: vidc.M263 - C:\WINDOWS\System32\msh263.drv (Microsoft Corporation)
Drivers32: vidc.mrle - C:\WINDOWS\System32\msrle32.dll (Microsoft Corporation)
Drivers32: vidc.msvc - C:\WINDOWS\System32\msvidc32.dll (Microsoft Corporation)
Drivers32: VIDC.UYVY - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YUY2 - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: vidc.yv12 - C:\WINDOWS\System32\DivX.dll (DivX, Inc.)
Drivers32: VIDC.YVU9 - C:\WINDOWS\System32\tsbyuv.dll (Microsoft Corporation)
Drivers32: VIDC.YVYU - C:\WINDOWS\System32\msyuv.dll (Microsoft Corporation)
Drivers32: wave - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave1 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave2 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave3 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wave4 - C:\WINDOWS\System32\wdmaud.drv (Microsoft Corporation)
Drivers32: wavemapper - C:\WINDOWS\System32\msacm32.drv (Microsoft Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point (58841880883888128)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.04.19 10:48:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
[2011.04.19 10:47:58 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[2011.04.19 10:47:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2011.04.19 10:47:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2011.04.19 10:47:54 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2011.04.19 10:47:53 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2011.04.19 10:19:37 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.04.19 10:19:30 | 000,000,000 | ---D | C] -- C:\_OTL
[2011.04.17 19:22:40 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2011.04.17 19:16:00 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2011.04.17 19:16:00 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2011.04.17 19:16:00 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2011.04.17 19:16:00 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2011.04.17 19:15:45 | 000,000,000 | ---D | C] -- C:\Combo-Fix
[2011.04.17 19:15:16 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.04.17 17:37:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip
[2011.04.17 17:37:23 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip
[2011.04.17 15:24:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT
[2011.04.17 15:24:04 | 000,000,000 | ---D | C] -- C:\Programme\ERUNT
[2011.04.17 15:24:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ERUNT
[2011.04.17 14:53:15 | 000,580,608 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2011.04.10 11:54:25 | 000,000,000 | ---D | C] -- C:\Fotos
[2011.04.08 00:01:59 | 000,000,000 | ---D | C] -- C:\Programme\Panda Security
[2011.04.07 23:41:28 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\2EB8B47B37B7841B671675EFCF9F0D34
[2011.04.07 21:25:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia
[2011.04.07 21:24:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe
[2011.04.06 20:53:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avanquest
[2010.11.25 13:55:09 | 000,196,608 | ---- | C] ( ) -- C:\WINDOWS\System32\csnp2uvc.dll
[2010.11.25 13:55:06 | 000,241,664 | ---- | C] ( ) -- C:\WINDOWS\System32\rsnp2uvc.dll
[2009.04.20 15:26:47 | 000,774,144 | ---- | C] (RealNetworks, Inc.) -- C:\Programme\RngInterstitial.dll
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.04.26 08:40:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{5916B645-CE8E-44E7-97DF-93935BDDA4D8}.job
[2011.04.26 08:39:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{F53129B4-9B29-4728-97D8-71C5C9AD14C0}.job
[2011.04.26 08:39:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{C4ED1B34-A2AA-4DF7-953B-CEEEDC61F816}.job
[2011.04.26 08:26:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2011.04.26 06:00:07 | 000,000,306 | ---- | M] () -- C:\WINDOWS\tasks\Spybot - Search & Destroy Updater -  Scheduled Task.job
[2011.04.25 21:42:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2011.04.25 20:22:28 | 000,000,488 | ---- | M] () -- C:\hpfr5550.xml
[2011.04.25 19:17:05 | 000,301,568 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\12sbldxt.exe
[2011.04.25 19:15:11 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\defogger_reenable
[2011.04.25 15:07:49 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Defogger.exe
[2011.04.25 14:05:00 | 000,000,382 | ---- | M] () -- C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1247141065.job
[2011.04.25 10:26:00 | 000,001,084 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2011.04.25 02:00:03 | 000,000,326 | ---- | M] () -- C:\WINDOWS\tasks\Spybot - Search & Destroy -  Scheduled Task.job
[2011.04.20 21:47:46 | 000,002,521 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Start Pervasive PSQL Workgroup Engine.lnk
[2011.04.20 21:47:41 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.04.20 21:40:40 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.04.20 16:56:06 | 000,610,182 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.04.20 16:56:06 | 000,573,820 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.04.20 16:56:06 | 000,147,460 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.04.20 16:56:06 | 000,124,192 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.04.19 10:47:58 | 000,000,797 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.04.18 14:46:19 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.04.18 09:02:32 | 000,148,400 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.04.18 08:42:23 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2011.04.18 08:35:17 | 002,004,062 | ---- | M] () -- C:\WINDOWS\iis6.BAK
[2011.04.18 08:30:03 | 000,000,127 | ---- | M] () -- C:\WINDOWS\System32\MRT.INI
[2011.04.17 19:32:22 | 2138,324,992 | ---- | M] () -- C:\WINDOWS\MEMORY.DMP
[2011.04.17 19:22:45 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2011.04.17 19:08:37 | 000,000,119 | ---- | M] () -- C:\WINDOWS\Crypkey.ini
[2011.04.17 15:00:40 | 000,580,608 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe
[2011.04.08 15:29:44 | 000,000,104 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\E-Mail.lnk
[2011.04.08 03:17:26 | 000,102,400 | ---- | M] () -- C:\WINDOWS\RegBootClean.exe
[2011.04.07 21:11:34 | 000,000,069 | ---- | M] () -- C:\WINDOWS\NeroDigital.ini
[2011.04.06 20:58:54 | 000,001,755 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader X.lnk
[2011.04.06 19:59:20 | 000,000,000 | ---- | M] () -- C:\WINDOWS\txtDef
[2011.04.04 13:12:00 | 000,147,456 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.03.31 11:04:32 | 000,000,885 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Verknüpfung mit SERVER @ Praxis TELFS.RDP.lnk
[2011.03.31 10:11:37 | 000,000,000 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Default.rdp
[3 C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.04.25 19:17:03 | 000,301,568 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\12sbldxt.exe
[2011.04.25 19:15:11 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\defogger_reenable
[2011.04.25 15:07:48 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Defogger.exe
[2011.04.19 10:47:58 | 000,000,797 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[2011.04.18 08:30:03 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI
[2011.04.17 19:22:44 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2011.04.17 19:22:42 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2011.04.17 19:16:00 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.04.17 19:16:00 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.04.17 19:16:00 | 000,089,088 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.04.17 19:16:00 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.04.17 19:16:00 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.04.08 15:29:44 | 000,000,104 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\E-Mail.lnk
[2011.04.08 03:16:20 | 000,102,400 | ---- | C] () -- C:\WINDOWS\RegBootClean.exe
[2011.04.06 19:59:20 | 000,000,000 | ---- | C] () -- C:\WINDOWS\txtDef
[2011.03.31 11:04:32 | 000,000,885 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Verknüpfung mit SERVER @ Praxis TELFS.RDP.lnk
[2011.03.31 10:11:37 | 000,000,000 | -H-- | C] () -- C:\Dokumente und Einstellungen\Admin\Eigene Dateien\Default.rdp
[2011.03.31 09:50:46 | 000,114,176 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\winbox.exe
[2010.12.14 11:26:47 | 000,000,036 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\housecall.guid.cache
[2010.11.25 14:26:37 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2010.11.25 13:55:09 | 003,486,336 | ---- | C] () -- C:\WINDOWS\System32\drivers\snp2uvc.sys
[2010.11.25 13:55:09 | 000,028,544 | ---- | C] () -- C:\WINDOWS\System32\drivers\sncduvc.sys
[2010.11.25 13:55:09 | 000,015,497 | ---- | C] () -- C:\WINDOWS\snp2uvc.ini
[2010.11.25 13:55:00 | 000,172,103 | ---- | C] () -- C:\WINDOWS\BM.exe
[2010.11.22 09:18:59 | 000,002,560 | ---- | C] () -- C:\WINDOWS\_MSRSTRT.EXE
[2010.11.15 12:50:48 | 000,000,073 | ---- | C] () -- C:\WINDOWS\spmail.ini
[2010.11.15 12:50:48 | 000,000,045 | ---- | C] () -- C:\WINDOWS\CARDTERM.INI
[2010.11.15 12:46:39 | 000,162,304 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.EXE
[2010.11.15 12:46:39 | 000,006,667 | ---- | C] () -- C:\WINDOWS\System32\UNWISE.INI
[2010.11.11 15:14:25 | 000,175,104 | ---- | C] () -- C:\WINDOWS\System32\lame_enc.dll
[2010.11.11 15:14:21 | 000,427,520 | ---- | C] () -- C:\WINDOWS\System32\XPBurnObj.dll
[2010.11.11 15:14:20 | 000,299,008 | ---- | C] () -- C:\WINDOWS\System32\CepemDLL.dll
[2010.11.02 06:14:36 | 000,000,004 | ---- | C] () -- C:\WINDOWS\vx86036.dat
[2010.11.02 06:13:00 | 000,000,119 | ---- | C] () -- C:\WINDOWS\Crypkey.ini
[2010.11.02 06:12:54 | 000,027,648 | R--- | C] () -- C:\WINDOWS\Setup_ck.exe
[2010.11.02 06:12:54 | 000,019,584 | ---- | C] () -- C:\WINDOWS\System32\Ckldrv.sys
[2010.11.02 06:12:54 | 000,018,432 | ---- | C] () -- C:\WINDOWS\Setup_ck.dll
[2010.11.02 06:12:54 | 000,011,776 | ---- | C] () -- C:\WINDOWS\Ckrfresh.exe
[2010.03.20 00:46:16 | 000,290,816 | ---- | C] () -- C:\WINDOWS\System32\decdll.dll
[2009.11.17 14:16:38 | 000,000,392 | ---- | C] () -- C:\WINDOWS\System32\BTRDRVR.SYS
[2009.09.25 18:10:23 | 000,000,000 | ---- | C] () -- C:\WINDOWS\iPlayer.INI
[2009.08.04 16:42:16 | 000,030,860 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2009.08.01 18:03:06 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2009.07.13 11:00:26 | 000,147,456 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009.07.05 21:33:18 | 000,000,214 | ---- | C] () -- C:\WINDOWS\HP_48BitScanUpdatePatch.ini
[2009.07.05 21:27:50 | 000,019,554 | ---- | C] () -- C:\WINDOWS\hpoins01.dat
[2009.07.05 21:27:50 | 000,016,606 | ---- | C] () -- C:\WINDOWS\hpomdl01.dat
[2009.04.21 17:10:27 | 000,000,022 | ---- | C] () -- C:\WINDOWS\iexplore.ini
[2009.03.26 09:25:49 | 000,004,096 | ---- | C] () -- C:\WINDOWS\d3dx.dat
[2009.03.13 16:14:53 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\$_hpcst$.hpc
[2009.01.30 18:29:04 | 000,116,224 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2009.01.30 18:29:04 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\unredmon.exe
[2009.01.29 12:27:09 | 000,033,061 | ---- | C] () -- C:\WINDOWS\king-uninstall.exe
[2009.01.28 18:18:36 | 000,003,953 | ---- | C] () -- C:\WINDOWS\System32\coinst.dll
[2009.01.28 18:16:35 | 000,008,960 | ---- | C] () -- C:\WINDOWS\System32\drivers\usbbc.sys
[2009.01.28 18:06:42 | 000,000,075 | ---- | C] () -- C:\WINDOWS\USBBC.ini
[2009.01.28 18:06:42 | 000,000,000 | ---- | C] () -- C:\WINDOWS\MDI.INI
[2009.01.28 17:39:57 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009.01.05 14:44:10 | 000,053,248 | ---- | C] () -- C:\WINDOWS\bdoscandel.exe
[2009.01.05 14:44:10 | 000,000,483 | ---- | C] () -- C:\WINDOWS\bdoscandellang.ini
[2008.08.19 13:33:28 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008.08.19 11:16:14 | 000,004,617 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008.08.19 11:13:36 | 000,148,400 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2008.08.19 10:51:42 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\ChCfg.exe
[2008.08.19 10:48:21 | 000,200,704 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4704.dll
[2008.08.19 10:41:46 | 000,013,005 | ---- | C] () -- C:\WINDOWS\Ascd_log.ini
[2008.08.19 10:40:58 | 000,005,810 | R--- | C] () -- C:\WINDOWS\System32\drivers\ASACPI.sys
[2008.08.19 10:40:57 | 000,012,687 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini
[2008.08.19 10:40:46 | 000,010,288 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS
[2008.08.19 10:27:40 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008.08.19 10:23:41 | 000,022,908 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2007.10.29 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2007.10.29 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2007.10.29 14:00:00 | 000,610,182 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2007.10.29 14:00:00 | 000,573,820 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2007.10.29 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2007.10.29 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2007.10.29 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2007.10.29 14:00:00 | 000,150,784 | ---- | C] () -- C:\WINDOWS\System32\agejkcps.dat
[2007.10.29 14:00:00 | 000,147,460 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2007.10.29 14:00:00 | 000,135,936 | ---- | C] () -- C:\WINDOWS\System32\npphufah.dat
[2007.10.29 14:00:00 | 000,124,192 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2007.10.29 14:00:00 | 000,058,112 | ---- | C] () -- C:\WINDOWS\System32\ohugcvbj.dat
[2007.10.29 14:00:00 | 000,050,432 | ---- | C] () -- C:\WINDOWS\System32\kkabvaec.dat
[2007.10.29 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2007.10.29 14:00:00 | 000,039,680 | ---- | C] () -- C:\WINDOWS\System32\erhnnatm.dat
[2007.10.29 14:00:00 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\immvrnbn.dat
[2007.10.29 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2007.10.29 14:00:00 | 000,031,488 | ---- | C] () -- C:\WINDOWS\System32\ghlkrcah.dat
[2007.10.29 14:00:00 | 000,030,464 | ---- | C] () -- C:\WINDOWS\System32\xcumtbuq.dat
[2007.10.29 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2007.10.29 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2007.10.29 14:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2007.10.29 14:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2007.10.29 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.03.09 22:31:04 | 000,561,152 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll
[2003.02.20 17:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
[1996.12.14 01:00:00 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\WRKGADM.EXE
[1996.12.14 01:00:00 | 000,025,600 | ---- | C] () -- C:\WINDOWS\System32\VADE232.DLL
[1996.12.14 01:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\ODBCSTF.DLL
[1996.12.14 01:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
 
========== LOP Check ==========
 
[2010.11.24 10:57:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Buchner
[2010.03.20 01:16:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\CocoonSoftware
[2010.11.13 18:08:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\DrekSoftware
[2010.06.28 17:21:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Enplase
[2010.03.20 00:46:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FreeVideoConverter
[2009.04.20 15:09:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GameHouse
[2011.01.30 00:13:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GetRightToGo
[2010.11.25 15:15:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICAClient
[2010.08.21 19:16:35 | 000,000,000 | RH-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\JAM Software
[2009.03.14 19:13:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Jane s Hotel
[2011.04.07 21:16:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OfficeUpdate12
[2009.07.04 15:59:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Panda Security
[2010.05.04 22:15:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Sahmon Games
[2009.09.23 23:32:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Systweak
[2010.11.17 10:46:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TeamViewer
[2009.08.04 21:58:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Teleca
[2009.09.23 23:07:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Uniblue
[2009.04.24 01:43:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Zylom
[2010.12.28 20:46:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AlcaTech
[2011.04.06 20:53:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avanquest
[2009.08.04 21:17:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth
[2009.04.19 18:21:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BOONTY
[2009.09.18 14:00:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
[2010.05.02 16:59:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameHouse
[2009.06.28 17:29:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Giveaway Ashtons Family Resort
[2009.04.06 07:51:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Gold Casual Games
[2011.01.21 06:55:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\jGfHf01816
[2009.05.18 20:24:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MumboJumbo
[2009.04.20 15:09:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\n7-89-o9-3r-4t-r9
[2010.11.24 18:11:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Navato GmbH
[2009.07.04 15:55:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Panda Security
[2009.06.10 10:48:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Drivers HeadQuarters
[2011.03.01 13:48:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pervasive Software
[2010.05.05 13:22:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
[2009.12.25 11:37:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
[2009.08.04 21:55:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
[2010.11.25 13:55:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2009.04.20 14:05:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
[2010.04.20 08:49:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
[2009.11.20 19:13:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{755AC846-7372-4AC8-8550-C52491DAA8BD}
[2009.08.04 02:00:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
[2011.04.25 14:05:00 | 000,000,382 | ---- | M] () -- C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1247141065.job
[2009.10.06 21:32:00 | 000,000,334 | ---- | M] () -- C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1246822280.job
[2011.04.26 08:40:00 | 000,000,426 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{5916B645-CE8E-44E7-97DF-93935BDDA4D8}.job
[2011.04.26 08:39:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{C4ED1B34-A2AA-4DF7-953B-CEEEDC61F816}.job
[2011.04.26 08:39:00 | 000,000,418 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{F53129B4-9B29-4728-97D8-71C5C9AD14C0}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*.* >
[2011.01.07 16:18:58 | 000,000,000 | ---- | M] () -- C:\ASPI.LOG
[2008.08.19 10:25:56 | 000,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT
[2009.09.23 22:42:34 | 000,000,211 | ---- | M] () -- C:\Boot.bak
[2011.04.17 19:22:45 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2007.10.29 14:00:00 | 000,004,952 | RHS- | M] () -- C:\bootfont.bin
[2009.02.05 20:18:15 | 000,512,680 | ---- | M] (Google Inc.) -- C:\ChromeSetup.exe
[2010.11.02 06:14:23 | 000,000,120 | ---- | M] () -- C:\CKINFO.TXT
[2004.08.03 23:00:10 | 000,262,448 | RHS- | M] () -- C:\cmldr
[2011.04.18 14:50:39 | 000,036,246 | ---- | M] () -- C:\ComboFix.txt
[2008.08.19 10:25:56 | 000,000,000 | ---- | M] () -- C:\CONFIG.SYS
[2009.04.20 20:39:26 | 000,000,575 | ---- | M] () -- C:\DownloadLog.txt
[2009.11.29 00:32:59 | 000,000,052 | ---- | M] () -- C:\favorites.xml
[2011.02.21 19:02:32 | 000,006,710 | ---- | M] () -- C:\fpRedmon.log
[2009.01.30 18:29:02 | 001,593,856 | ---- | M] (Microsoft Corporation) -- C:\FreePDFXP3.26.EXE
[2011.01.21 06:33:40 | 001,228,854 | ---- | M] () -- C:\fsqwr.bmp
[2009.01.30 18:28:11 | 014,275,584 | ---- | M] () -- C:\gs862w32.exe
[2009.07.09 14:38:21 | 000,000,000 | ---- | M] () -- C:\hpfr3420.xml
[2009.07.09 14:38:22 | 000,001,508 | ---- | M] () -- C:\hpfr3425.log
[2011.04.25 20:22:28 | 000,000,488 | ---- | M] () -- C:\hpfr5550.xml
[2008.08.19 10:25:56 | 000,000,000 | RHS- | M] () -- C:\IO.SYS
[2009.01.30 19:14:31 | 001,345,024 | ---- | M] (Irfan Skiljan) -- C:\iview423_setup.exe
[2008.08.19 10:25:56 | 000,000,000 | RHS- | M] () -- C:\MSDOS.SYS
[2007.10.29 14:00:00 | 000,047,564 | RHS- | M] () -- C:\NTDETECT.COM
[2008.08.19 11:18:58 | 000,251,712 | RHS- | M] () -- C:\ntldr
[2011.04.20 21:40:34 | 2145,386,496 | -HS- | M] () -- C:\pagefile.sys
[2008.08.19 10:51:44 | 000,000,571 | ---- | M] () -- C:\RHDSetup.log
[2010.11.25 14:16:03 | 000,614,424 | ---- | M] () -- C:\snp2uvc-001.raw
[2010.12.14 15:25:34 | 000,000,012 | ---- | M] () -- C:\spyhunter.fix
[2009.07.08 16:33:33 | 000,000,000 | ---- | M] () -- C:\Tech_Vista.log
[2010.04.27 02:56:25 | 000,026,090 | ---- | M] () -- C:\wbk.rtf
 
< %systemroot%\system32\*.wt >
 
< %systemroot%\system32\*.ruy >
 
< %systemroot%\Fonts\*.com >
[2006.04.18 15:39:28 | 000,026,040 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalMonospace.CompositeFont
[2006.06.29 14:53:56 | 000,026,489 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSansSerif.CompositeFont
[2006.04.18 15:39:28 | 000,029,779 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalSerif.CompositeFont
[2006.06.29 14:58:52 | 000,030,808 | ---- | M] () -- C:\WINDOWS\Fonts\GlobalUserInterface.CompositeFont
 
< %systemroot%\Fonts\*.dll >
 
< %systemroot%\Fonts\*.ini >
[2009.03.06 15:56:36 | 000,000,067 | -HS- | M] () -- C:\WINDOWS\Fonts\desktop.ini
 
< %systemroot%\Fonts\*.ini2 >
 
< %systemroot%\system32\spool\prtprocs\w32x86\*.* >
[2008.07.06 14:06:10 | 000,089,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\filterpipelineprintproc.dll
[2007.04.09 13:23:54 | 000,028,552 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\mdippr.dll
[2008.07.06 12:50:03 | 000,597,504 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\spool\prtprocs\w32x86\printfilterpipelinesvc.exe
 
< %systemroot%\REPAIR\*.bak1 >
 
< %systemroot%\REPAIR\*.ini >
 
< %systemroot%\system32\*.jpg >
 
< %systemroot%\*.scr >
[2010.05.04 22:15:39 | 000,237,568 | ---- | M] (Sahmon Studio) -- C:\WINDOWS\IncaBallCave.scr
 
< %systemroot%\*._sy >
 
< %APPDATA%\Adobe\Update\*.* >
 
< %ALLUSERSPROFILE%\Favorites\*.* >
 
< %APPDATA%\Microsoft\*.* >
 
< %PROGRAMFILES%\*.* >
[2009.04.20 15:26:43 | 000,774,144 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\RngInterstitial.dll
 
< %APPDATA%\Update\*.* >
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
< %systemroot%\Tasks\*.job /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2009.03.06 16:43:15 | 000,786,432 | ---- | M] () -- C:\WINDOWS\system32\config\default.sav
[2009.03.06 15:32:33 | 000,262,144 | ---- | M] () -- C:\WINDOWS\system32\config\security.sav
[2009.03.06 16:43:15 | 020,185,088 | ---- | M] () -- C:\WINDOWS\system32\config\software.sav
[2009.03.06 16:43:15 | 004,194,304 | ---- | M] () -- C:\WINDOWS\system32\config\system.sav
 
< %systemroot%\system32\user32.dll /md5 >
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< %systemroot%\system32\ws2_32.dll /md5 >
[2008.04.14 04:22:32 | 000,082,432 | ---- | M] (Microsoft Corporation) MD5=6A35E2D6F5F052C84EC2CEB296389439 -- C:\WINDOWS\system32\ws2_32.dll
 
< %systemroot%\system32\ws2help.dll /md5 >
[2008.04.14 04:22:32 | 000,019,968 | ---- | M] (Microsoft Corporation) MD5=C7D8A0517CBF16B84F657DE87EBE9D4B -- C:\WINDOWS\system32\ws2help.dll
 
 
< MD5 for: EXPLORER.EXE  >
[2007.10.29 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ERDNT\cache\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
 
< MD5 for: WINLOGON.EXE  >
[2007.10.29 14:00:00 | 000,512,000 | ---- | M] (Microsoft Corporation) MD5=00F0521FB60946D16AFA483C2FE68F34 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ERDNT\cache\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2011-04-21 01:02:17
 
<          >

< End of report >
--- --- ---

Swisstreasure 26.04.2011 18:16
Schritt 1

Bitte lasse die Dateien aus der Code-Box bei Virustotal überprüfen
Code:
C:\WINDOWS\BM.exe
C:\WINDOWS\System32\ChCfg.exe
C:\gs862w32.exe
Also gehe wie hier beschrieben vor:
  • Öffne diese Webseite: virustotal
  • Klicke auf "Durchsuchen"
  • Suche die Datei auf deinem Rechner--> Doppelklick auf die zu prüfende Datei (oder kopiere den Inhalt ab aus der Codebox)
  • "Senden der Datei"
  • Warte, bis der Scandurchlauf aller Virenscanner beendet ist
  • Auf "Filter" klicken
  • dann auf "Ergebnisse"
  • das Ergebnis (wie Du es bekommst )
    komplett markieren und hier rein kopieren
Sollte die Datei als schädlich erkannt werden bitte noch nicht entfernen

Schritt 2

Fixen mit OTL
Code:
:OTL
PRC - [2010.11.20 23:42:00 | 004,863,376 | ---- | M] () -- C:\Programme\Free Torrent Viewer\FreeTorrentViewer.exe
SRV - [2010.01.15 14:49:20 | 000,227,232 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe -- (McComponentHostService)
O2 - BHO: (no name) - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - No CLSID value found.
O4 - HKCU..\Run: [H/PC Connection Agent]  File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
[2011.04.08 03:17:26 | 000,102,400 | ---- | M] () -- C:\WINDOWS\RegBootClean.exe
:services
:files
:reg
:Commands
[purity]
[emptytemp]
  • Schliesse bitte nun alle Programme.
  • Klicke nun bitte auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
  • Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
    ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
    Kopiere nun den Inhalt hier in Deinen Thread

sonja0 26.04.2011 19:45
Virustotal hat nichts gefunden:

C:\WINDOWS\BM.exe


File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: 15c6709f9764069681f39b04c3fb368d
Date first seen: 2009-12-25 03:49:04 (UTC)
Date last seen: 2009-12-25 03:49:04 (UTC)
Detection ratio: 0/41


C:\WINDOWS\System32\ChCfg.exe

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: 43c3571eada5bc1edead7ca22ad66f30
Date first seen: 2007-01-18 05:29:41 (UTC)
Date last seen: 2011-04-25 06:41:07 (UTC)
Detection ratio: 0/41


C:\gs862w32.exe

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: c6af11b37066a391344756c3acc9f68c
Date first seen: 2008-06-17 11:09:42 (UTC)
Date last seen: 2011-02-26 23:39:00 (UTC)
Detection ratio: 0/41


OTL folgt

lg

Sonja

Swisstreasure 26.04.2011 20:18
Ich hab noch etwas vergessen.
Mach dies zwingend noch:

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.

sonja0 26.04.2011 20:51
Teatimer war bereits aus und bleibt vorerst auch aus.
Hier das OTL-Logfile:

All processes killed
========== OTL ==========
No active process named FreeTorrentViewer.exe was found!
Service McComponentHostService stopped successfully!
Service McComponentHostService deleted successfully!
C:\Programme\McAfee Security Scan\2.0.181\McCHSvc.exe moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C84D72FE-E17D-4195-BB24-76C02E2E7C4E}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\H/PC Connection Agent deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\ deleted successfully.
C:\WINDOWS\RegBootClean.exe moved successfully.
========== SERVICES/DRIVERS ==========
========== FILES ==========
========== REGISTRY ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Admin
->Temp folder emptied: 637038 bytes
->Temporary Internet Files folder emptied: 6072915 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 649 bytes

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Dr. Ulmer
->Temp folder emptied: 621025 bytes
->Temporary Internet Files folder emptied: 33663 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Apple Safari cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: DR8186~1~ULM

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: Sonja
->Temp folder emptied: 622095 bytes
->Temporary Internet Files folder emptied: 33663 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1785739 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 9,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 04262011_214650

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


lG

Sonja

Swisstreasure 26.04.2011 21:09
Schritt 1

Nein Teatimer lief immernoch:
Zitat:
PRC - [2009.03.05 17:07:20 | 002,260,480 | RHS- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
Hast Du diesen genau nach Anleitung deaktiviert?

Schritt 2

Komplettscan mit Antivir machen

AntiVir so einstellen, dass nur noch wichtige Ereignisse geloggt werden:

Rechte Maustaste auf den AntiVir-Schirm unten rechts in der Leiste => Antivir konfigurieren => einen Haken bei "Experten-Modus" machen => Scanner aufklappen => Report auf "Standard" umstellen" => Guard aufklappen => Report auf "Standard" umstellen => mit OK AntiVir schließen.

Fullscan mit Antivir machen

Aktualisiere die Signaturen (Rechtsklick auf den Schirm => Update starten).

Mache nun einen vollständigen Systemscan Deines Rechners mit Antivir und poste mir den Bericht hier in den Thread. Bitte die Serien-Nummer unkenntlich machen.

Bericht in AntiVir finden

Du kommst wie folgt an den Bericht: Antivir über Doppelklick auf den Schirm unten rechts starten => den Reiter "Berichte" anklicken => Doppelklick auf den Bericht namens "Suchlauf" => in dem aufpoppenden Fenster auf "Report" klicken => es öffnet sich Dein Editor => im Editor mit Tastenkombination STRG + A den Text markieren => mit STRG + C den Text ins Clipboard kopieren => mit STRG + V den Text hier reinkopieren. Bitte im Logfile Deine Seriennummer unkenntlich machen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131