Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   gvu virus, win xp (https://www.trojaner-board.de/115494-gvu-virus-win-xp.html)

Biber 20.05.2012 23:08
gvu virus, win xp
 
Habe mir leider auch diesen Virus eingefangen, der den Computer sperrt. Das Internet habe ich sofort gekappt, seither kommt nur noch die "Verbindung wird hergestellt" Meldung auf weißem Bildschirm. Das gleiche auch im abgesicherten Modus. Hab's mit der Windows-Recovery CD versucht, aber hat kaum was geändert (ich kann jetzt allerdings für eine Sekunde den normalen Desktop sehen, bevor auf dem Bildschirm wieder unschönes Weiß ausbricht).
Nun habe ich mir dieses OTL-Ding runtergeladen und bin einen Menschen mit Brenner besuchen gegangen, die CD funktioniert sogar und ich habe mal irgendwas gescannt, hoffentlich das richtige.
Code:
OTL logfile created on: 5/20/2012 5:21:23 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511.00 Mb Total Physical Memory | 324.00 Mb Available Physical Memory | 63.00% Memory free
459.00 Mb Paging File | 339.00 Mb Available in Paging File | 74.00% Paging File free
Paging file location(s): c:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 116.45 Gb Total Space | 1.33 Gb Free Space | 1.14% Space Free | Partition Type: NTFS
Drive D: | 106.67 Gb Total Space | 0.16 Gb Free Space | 0.15% Space Free | Partition Type: NTFS
Drive E: | 9.76 Gb Total Space | 7.20 Gb Free Space | 73.81% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2012/05/04 16:24:44 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/05/04 04:47:39 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/02/29 02:50:48 | 000,158,856 | R--- | M] (Skype Technologies) [Auto] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012/01/13 09:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) [Auto] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011/08/23 03:23:36 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/06/11 04:52:13 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010/03/04 16:38:00 | 000,071,096 | ---- | M] () [Auto] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2001/11/12 08:31:48 | 000,020,480 | ---- | M] (X10) [On_Demand] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (wanatw) WAN Miniport (ATW)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2012/05/07 12:52:48 | 000,017,408 | ---- | M] (ICSI Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\USBCRFT.SYS -- (CardReaderFilter)
DRV - [2011/12/10 10:24:06 | 000,020,464 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2011/08/23 03:23:42 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/08/23 03:23:42 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/06/17 09:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/06/17 09:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009/11/12 08:48:56 | 000,005,504 | ---- | M] () [File_System | Auto] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2006/02/23 12:16:36 | 000,264,704 | ---- | M] (AVM GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2005/06/07 21:35:08 | 000,799,744 | ---- | M] (Philips Semiconductors GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\3xHybrid.sys -- (3xHybrid)
DRV - [2005/05/12 08:39:56 | 001,287,296 | ---- | M] (C-Media Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\cmudax.sys -- (cmudax)
DRV - [2004/10/08 05:51:08 | 001,270,540 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2004/08/04 08:00:00 | 000,015,360 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2004/03/23 22:12:34 | 000,017,280 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\nsndis5.sys -- (NSNDIS5)
DRV - [2004/03/17 10:10:40 | 000,113,664 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2001/11/14 13:07:42 | 000,010,761 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\x10uif.sys -- (X10UIF)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com
 
 
IE - HKU\Trunkenbold_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/
IE - HKU\Trunkenbold_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Witwe_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/
IE - HKU\Witwe_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.450: C:\Programme\Real Alternative\Browser\Plugins\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Programme\Real Alternative\Browser\Plugins\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: 
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/05/04 04:47:39 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/10/12 02:04:44 | 000,000,000 | ---D | M]
 
[2012/03/19 06:01:55 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012/04/22 05:52:13 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012/05/04 04:47:39 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012/02/20 05:41:57 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2009/08/03 09:07:42 | 000,373,104 | ---- | M] (Microsoft Corporation) -- C:\Programme\mozilla firefox\plugins\npOGAPlugin.dll
[2010/12/09 06:47:06 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll
[2011/09/30 13:32:13 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/09/30 13:32:13 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011/09/30 13:32:13 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/09/30 13:32:13 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/09/30 13:32:13 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/09/30 13:32:13 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKU\Trunkenbold_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\Witwe_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin GmbH)
O4 - HKLM..\Run: [b9cGL1ecsM0LcuT] C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
O4 - HKLM..\Run: [Cmaudio]  File not found
O4 - HKLM..\Run: [Dit] C:\WINDOWS\Dit.exe (ICSI Technology Ltd.)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [Keyboard Status] C:\Programme\Medion\KeyStat\KeyStat.exe ()
O4 - HKLM..\Run: [MSPY2002]  File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [PHIME2002A]  File not found
O4 - HKLM..\Run: [PHIME2002ASync]  File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\Hdaudpropshortcut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKU\Trunkenbold_ON_C..\Run: [AOLMIcon]  File not found
O4 - HKU\Trunkenbold_ON_C..\Run: [b9cGL1ecsM0LcuT] C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe ()
O4 - HKU\Witwe_ON_C..\Run: [b9cGL1ecsM0LcuT] C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
O4 - HKU\Witwe_ON_C..\Run: [Spotify]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119522480859 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} hxxp://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx (CRLDownloadWrapper Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
O20 - HKU\Trunkenbold_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe ()
O20 - HKU\Trunkenbold_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe ()
O20 - HKU\Witwe_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
O20 - HKU\Witwe_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005/06/23 05:34:25 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/05/11 07:37:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch
[2012/05/11 07:21:28 | 000,024,661 | ---- | C] (Perle Systems Ltd.) -- C:\WINDOWS\System32\spxcoins.dll
[2012/05/11 07:21:28 | 000,013,824 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\irclass.dll
[2012/05/07 13:29:16 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Trunkenbold\IETldCache
[2012/05/07 13:28:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Identities
[2012/05/07 13:28:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\AOL
[2012/05/07 13:28:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Adobe
[2012/05/07 13:28:48 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Microsoft
[2012/05/07 13:28:48 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten
[2012/05/07 13:28:48 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Eigene Dateien\Eigene Dokumente
[2012/05/07 13:28:48 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Eigene Dateien\Eigene Bilder
[2012/05/07 13:28:48 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Cookies
[2012/05/07 13:28:48 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Druckumgebung
[2012/05/07 13:28:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\You've Got Pictures Screensaver
[2012/05/07 13:28:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Sun
[2012/05/07 13:28:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Real
[2012/05/07 13:28:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Macromedia
[2012/05/07 13:28:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Desktop
[2012/05/07 13:28:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Favoriten
[2012/05/07 13:28:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Eigene Dateien\Eigene Videos
[2012/05/07 13:28:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Eigene Dateien\Eigene Tabellen
[2012/05/07 13:28:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Eigene Dateien\Eigene Musik
[2012/05/07 13:28:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Eigene Dateien
[2012/05/07 13:28:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
[2012/05/07 13:28:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen\Anwendungsdaten\Adobe
[2012/05/07 13:28:46 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Trunkenbold\UserData
[2012/05/07 13:28:46 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\SendTo
[2012/05/07 13:28:46 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Recent
[2012/05/07 13:28:46 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Startmenü\Programme\Zubehör
[2012/05/07 13:28:46 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Startmenü
[2012/05/07 13:28:46 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Startmenü\Programme\Autostart
[2012/05/07 13:28:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Vorlagen
[2012/05/07 13:28:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Netzwerkumgebung
[2012/05/07 13:28:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen
[2012/05/07 13:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
[2012/05/07 13:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\WINDOWS
[2012/05/07 13:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2012/05/07 13:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen\Anwendungsdaten\{3248F0A6-6813-11D6-A77B-00B0D0150020}
[2012/05/04 04:47:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla
[2012/05/04 04:47:50 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[2012/04/26 07:28:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Witwe\Startmenü\Programme\Innonics
[2012/04/26 07:23:08 | 000,000,000 | ---D | C] -- C:\Programme\Innonics
[2012/04/22 05:51:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[2012/04/22 05:50:59 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/05/11 12:57:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/05/11 12:56:23 | 536,399,872 | -HS- | M] () -- C:\hiberfil.sys
[2012/05/11 07:37:51 | 000,474,160 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/05/11 07:37:51 | 000,454,044 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/05/11 07:37:51 | 000,090,784 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/05/11 07:37:51 | 000,074,794 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/05/11 07:36:59 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/11 07:36:36 | 000,125,320 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/05/11 07:35:54 | 000,000,329 | ---- | M] () -- C:\WINDOWS\System32\$winnt$.inf
[2012/05/11 07:33:03 | 000,000,000 | R--D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Verwaltung
[2012/05/11 07:32:59 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2012/05/11 07:32:58 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2012/05/11 07:32:58 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2012/05/11 07:32:46 | 000,004,161 | ---- | M] () -- C:\WINDOWS\ODBCINST.INI
[2012/05/11 07:31:37 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Movie Maker.lnk
[2012/05/11 07:31:02 | 000,023,588 | ---- | M] () -- C:\WINDOWS\System32\emptyregdb.dat
[2012/05/11 07:29:58 | 000,000,621 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Messenger.lnk
[2012/05/11 07:29:55 | 000,000,525 | ---- | M] () -- C:\WINDOWS\System32\mapisvc.inf
[2012/05/11 07:29:28 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2012/05/11 06:27:37 | 000,376,485 | ---- | M] () -- C:\WINDOWS\setupapi.old
[2012/05/08 10:48:04 | 000,004,454 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012/05/07 13:12:25 | 000,269,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe
[2012/05/07 13:12:25 | 000,269,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe
[2012/05/07 12:52:48 | 000,017,408 | ---- | M] (ICSI Technology Ltd.) -- C:\WINDOWS\System32\drivers\USBCRFT.SYS
[2012/05/07 12:52:43 | 000,021,787 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012/05/07 11:24:06 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012/05/06 13:26:08 | 000,000,868 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\GOM Player.lnk
[2012/05/06 13:26:08 | 000,000,850 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GOM Player.lnk
[2012/05/04 16:24:40 | 000,419,488 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012/05/04 16:24:40 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012/04/28 03:30:39 | 000,121,344 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/04/22 05:51:00 | 000,001,872 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2012/04/22 05:51:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/05/11 09:51:01 | 536,399,872 | -HS- | C] () -- C:\hiberfil.sys
[2012/05/08 10:40:15 | 000,000,621 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Messenger.lnk
[2012/05/08 10:29:09 | 000,168,806 | ---- | C] () -- C:\WINDOWS\System32\dllcache\startoc.cat
[2012/05/08 10:29:09 | 000,041,270 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MW770.CAT
[2012/05/08 10:29:09 | 000,030,983 | ---- | C] () -- C:\WINDOWS\System32\dllcache\FP4.CAT
[2012/05/08 10:29:09 | 000,018,989 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msn7.cat
[2012/05/08 10:29:09 | 000,014,043 | ---- | C] () -- C:\WINDOWS\System32\dllcache\IMS.CAT
[2012/05/08 10:29:09 | 000,013,472 | ---- | C] () -- C:\WINDOWS\System32\dllcache\HPCRDP.CAT
[2012/05/08 10:29:09 | 000,011,651 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msn9.cat
[2012/05/08 10:29:09 | 000,009,581 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MSMSGS.CAT
[2012/05/08 10:29:09 | 000,008,574 | ---- | C] () -- C:\WINDOWS\System32\dllcache\IASNT4.CAT
[2012/05/08 10:29:09 | 000,007,245 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MSTSWEB.CAT
[2012/05/08 10:29:09 | 000,007,046 | ---- | C] () -- C:\WINDOWS\System32\dllcache\OEMBIOS.CAT
[2012/05/08 10:29:08 | 001,899,936 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5.CAT
[2012/05/08 10:29:08 | 000,817,199 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5IIS.CAT
[2012/05/08 10:29:08 | 000,399,645 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MAPIMIG.CAT
[2012/05/08 10:29:07 | 000,521,298 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5INF.CAT
[2012/05/07 13:29:10 | 000,269,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe
[2012/05/07 13:28:53 | 000,000,759 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2012/05/07 13:28:53 | 000,000,079 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Desktop anzeigen.scf
[2012/05/07 13:28:50 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2012/05/07 13:28:49 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Startmenü\Programme\Remoteunterstützung.lnk
[2012/05/07 13:28:49 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Startmenü\Programme\Internet Explorer.lnk
[2012/05/07 13:28:49 | 000,000,718 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Startmenü\Programme\Outlook Express.lnk
[2012/05/07 13:12:29 | 000,269,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe
[2012/04/22 05:51:00 | 000,001,872 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2012/02/16 09:15:41 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/01/19 19:29:02 | 000,158,214 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011/12/01 16:13:14 | 000,000,175 | ---- | C] () -- C:\WINDOWS\dievölkergold.ini
[2011/04/21 12:25:44 | 000,081,920 | ---- | C] () -- C:\WINDOWS\ASR32311.DLL
[2011/04/21 12:25:43 | 000,000,070 | ---- | C] () -- C:\WINDOWS\HGSpeech.ini
[2011/04/07 09:40:51 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2011/02/22 15:39:04 | 000,240,640 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2011/02/22 15:37:30 | 000,650,752 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2011/02/20 15:15:18 | 000,172,032 | R--- | C] () -- C:\WINDOWS\ESUSDX.DLL
[2011/02/20 15:15:18 | 000,077,824 | R--- | C] () -- C:\WINDOWS\ESUSD.DLL
[2011/02/12 09:13:53 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2011/02/07 05:36:08 | 000,097,312 | ---- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin
[2011/02/06 18:29:42 | 000,000,002 | ---- | C] () -- C:\WINDOWS\msoffice.ini
[2011/02/06 18:13:17 | 000,121,344 | ---- | C] () -- C:\Dokumente und Einstellungen\Witwe\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/02/06 17:08:32 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Witwe\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2011/02/06 17:07:35 | 000,000,141 | ---- | C] () -- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/01/28 14:50:44 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2005/06/24 14:24:07 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005/06/24 06:42:31 | 000,003,072 | R--- | C] () -- C:\WINDOWS\System32\34CoInstaller.dll
[2005/06/24 04:54:05 | 000,127,184 | ---- | C] () -- C:\WINDOWS\Unwise.exe
[2005/06/23 14:23:06 | 000,001,256 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2005/06/23 14:22:58 | 000,474,160 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2005/06/23 14:22:58 | 000,090,784 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2005/06/23 14:22:48 | 000,454,044 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2005/06/23 14:22:48 | 000,074,794 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2005/06/23 14:22:45 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2005/06/23 13:23:03 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2005/06/23 13:15:37 | 000,000,335 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2005/06/23 13:13:52 | 000,004,184 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2005/06/23 13:13:52 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\ED17786B2C.sys
[2005/06/23 12:42:47 | 000,000,906 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2005/06/23 06:28:49 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005/06/23 06:28:09 | 000,125,320 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2005/06/23 06:17:33 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\vuins32.dll
[2005/06/23 06:10:27 | 000,000,269 | ---- | C] () -- C:\WINDOWS\Dit.INI
[2005/06/23 05:45:43 | 000,001,176 | ---- | C] () -- C:\WINDOWS\ImpTable.bin
[2005/06/23 05:45:42 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.exe
[2005/06/23 05:45:42 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2005/06/23 05:45:35 | 000,540,672 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2005/06/23 05:36:01 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2005/06/23 05:32:53 | 000,023,588 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/09/28 17:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 08:00:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 08:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 08:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2004/08/03 20:57:34 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2001/09/04 09:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001/09/04 09:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
 
========== LOP Check ==========
 
[2012/01/18 18:23:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\AVI ReComp
[2011/03/18 16:58:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\BSW
[2011/04/07 09:41:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Canneverbe Limited
[2011/10/20 06:04:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Ixuvup
[2011/06/30 06:06:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\JAM Software
[2011/06/24 06:50:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\My Games
[2011/02/15 10:08:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\OpenOffice.org
[2011/10/21 10:16:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Wocu
[2011/10/21 04:37:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\xrdkwi3axoebmwextwktd3i2hww3dik22
[2011/04/07 09:41:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2012/01/19 11:59:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Freemake
[2011/02/10 08:05:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
[2011/04/19 11:10:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lchinese
[2005/06/23 13:16:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
 
========== Purity Check ==========
 
 
< End of report >
Danach habe ich noch versucht, Malwarebytes vom Stick zu installieren oder zumindest mal das vom infizierten Rechner zu starten, funktioniert aber leider nicht.

Für gute Ideen wäre ich sehr dankbar.

Psychotic 21.05.2012 09:29
:hallo:

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.
  • Bitte arbeite alle Schritte der Reihe nach ab.
  • Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
  • Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
  • Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
  • Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
  • Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
  • Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.


Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.


Schritt 1: Fix mit OTLPE

  • An einem anderen PC, klicke auf Start-->ausführen.
  • Schreibe Notepad in die Textbox, klicke OK.
  • Kopiere nun den Inhalt der folgenden Codebox vollständig in das leere Textdokument:
    Code:
    :OTL
    O4 - HKLM..\Run: [b9cGL1ecsM0LcuT] C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
    O4 - HKU\Trunkenbold_ON_C..\Run: [b9cGL1ecsM0LcuT] C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe ()
    O4 - HKU\Witwe_ON_C..\Run: [b9cGL1ecsM0LcuT] C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
    O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
    O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
    O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
    O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
    O20 - HKU\Trunkenbold_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe ()
    O20 - HKU\Trunkenbold_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe ()
    O20 - HKU\Witwe_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
    O20 - HKU\Witwe_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
    [2012/05/07 13:12:25 | 000,269,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe
    [2011/10/20 06:04:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Ixuvup
    :COMMANDS
    [REBOOT]
  • Speichere die Datei als fix.txt auf einem USB-Stick.
  • Am infizierten Rechner, schließe den USB-Stick an, boote OTLPEN.
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Klicke nun bitte auf den Fix Button.
  • Lade die fix.txt von deinem Stick.
  • Klicke den Fix-Button.
  • Starte Windows nun normal. Es sollte sich eine OTL.txt öffnen, poste deren Inhalt in deinem nächsten Thread.

Psychotic 23.05.2012 07:04
Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Psychotic 24.05.2012 08:38
Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen

Biber 27.05.2012 16:10
Tut mir wirklich leid, dass ich mich erst so spät wieder melde.

Also ich hab alles gemacht, immerhin ist die Meldung jetzt weg und ich kann mein sehr schönes Hintergrundbild wieder sehen, allerdings keine Symbole mehr auf dem Desktop. Es hat sich auch beim Neustart keine Textdatei geöffnet. Kann sein, dass das daran liegt, dass ich den Rechner mehrmals neu gestartet hab, da er beim Hochfahren ausgegangen ist.

Psychotic 27.05.2012 22:01
Du findest es unter C:\_otl. Poste seinen Inhalt.

Biber 28.05.2012 13:19
Oh, ja, da hätte ich auch selber drauf kommen können.^^;
Danke, dass du dich nochmal meiner annimmst.

Code:
OTL logfile created on: 5/20/2012 11:58:53 PM - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511.00 Mb Total Physical Memory | 274.00 Mb Available Physical Memory | 54.00% Memory free
459.00 Mb Paging File | 300.00 Mb Available in Paging File | 65.00% Paging File free
Paging file location(s): c:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 116.45 Gb Total Space | 1.33 Gb Free Space | 1.14% Space Free | Partition Type: NTFS
Drive D: | 106.67 Gb Total Space | 0.16 Gb Free Space | 0.15% Space Free | Partition Type: NTFS
Drive E: | 9.76 Gb Total Space | 7.20 Gb Free Space | 73.81% Space Free | Partition Type: FAT32
Drive J: | 963.00 Mb Total Space | 507.69 Mb Free Space | 52.72% Space Free | Partition Type: FAT
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - (AppMgmt) --  File not found
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)
SRV - (SkypeUpdate) -- C:\Programme\Skype\Updater\Updater.exe (Skype Technologies)
SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira GmbH)
SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira GmbH)
SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()
SRV - (x10nets) -- C:\Programme\Common Files\X10\Common\X10nets.exe (X10)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (wanatw) WAN Miniport (ATW) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (CardReaderFilter) -- C:\WINDOWS\system32\drivers\USBCRFT.SYS (ICSI Technology Ltd.)
DRV - (MBAMProtector) -- C:\WINDOWS\system32\drivers\mbam.sys (Malwarebytes Corporation)
DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)
DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)
DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)
DRV - (avgio) -- C:\Programme\Avira\AntiVir Desktop\avgio.sys (Avira GmbH)
DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys ()
DRV - (FWLANUSB) -- C:\WINDOWS\system32\drivers\fwlanusb.sys (AVM GmbH)
DRV - (3xHybrid) -- C:\WINDOWS\system32\drivers\3xHybrid.sys (Philips Semiconductors GmbH)
DRV - (cmudax) -- C:\WINDOWS\system32\drivers\cmudax.sys (C-Media Inc.)
DRV - (AgereSoftModem) -- C:\WINDOWS\system32\drivers\AGRSM.sys (Agere Systems)
DRV - (MPE) -- C:\WINDOWS\system32\drivers\mpe.sys (Microsoft Corporation)
DRV - (NSNDIS5) -- C:\WINDOWS\system32\nsndis5.sys (Printing Communications Assoc., Inc. (PCAUSA))
DRV - (HdAudAddService) -- C:\WINDOWS\system32\drivers\Hdaudio.sys (Windows (R) Server 2003 DDK provider)
DRV - (X10UIF) -- C:\WINDOWS\system32\drivers\x10uif.sys (X10 Wireless Technology, Inc.)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com
 
 
IE - HKU\Trunkenbold_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/
IE - HKU\Trunkenbold_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Witwe_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/
IE - HKU\Witwe_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.450: C:\Programme\Real Alternative\Browser\Plugins\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Programme\Real Alternative\Browser\Plugins\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: 
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/05/04 04:47:39 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011/10/12 02:04:44 | 000,000,000 | ---D | M]
 
[2012/03/19 06:01:55 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012/04/22 05:52:13 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012/05/04 04:47:39 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012/02/20 05:41:57 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2009/08/03 09:07:42 | 000,373,104 | ---- | M] (Microsoft Corporation) -- C:\Programme\mozilla firefox\plugins\npOGAPlugin.dll
[2010/12/09 06:47:06 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll
[2011/09/30 13:32:13 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011/09/30 13:32:13 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011/09/30 13:32:13 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011/09/30 13:32:13 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/09/30 13:32:13 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011/09/30 13:32:13 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004/08/04 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKU\Trunkenbold_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\Witwe_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin GmbH)
O4 - HKLM..\Run: [b9cGL1ecsM0LcuT] C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
O4 - HKLM..\Run: [Cmaudio]  File not found
O4 - HKLM..\Run: [Dit] C:\WINDOWS\Dit.exe (ICSI Technology Ltd.)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [Keyboard Status] C:\Programme\Medion\KeyStat\KeyStat.exe ()
O4 - HKLM..\Run: [MSPY2002]  File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [PHIME2002A]  File not found
O4 - HKLM..\Run: [PHIME2002ASync]  File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\Hdaudpropshortcut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKU\Trunkenbold_ON_C..\Run: [AOLMIcon]  File not found
O4 - HKU\Trunkenbold_ON_C..\Run: [b9cGL1ecsM0LcuT] C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe ()
O4 - HKU\Witwe_ON_C..\Run: [b9cGL1ecsM0LcuT] C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
O4 - HKU\Witwe_ON_C..\Run: [Spotify]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119522480859 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} hxxp://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx (CRLDownloadWrapper Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
O20 - HKU\Trunkenbold_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe ()
O20 - HKU\Trunkenbold_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe ()
O20 - HKU\Witwe_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
O20 - HKU\Witwe_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005/06/23 05:34:25 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 13:06:42 | 000,000,053 | ---- | M] () - J:\AUTORUN.INF -- [ FAT ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/05/20 17:38:26 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\LocalService\Recent
[2012/05/11 07:37:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch
[2012/05/11 07:21:28 | 000,024,661 | ---- | C] (Perle Systems Ltd.) -- C:\WINDOWS\System32\spxcoins.dll
[2012/05/11 07:21:28 | 000,013,824 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\irclass.dll
[2012/05/07 13:29:16 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Trunkenbold\IETldCache
[2012/05/07 13:28:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Identities
[2012/05/07 13:28:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\AOL
[2012/05/07 13:28:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Adobe
[2012/05/07 13:28:48 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Microsoft
[2012/05/07 13:28:48 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten
[2012/05/07 13:28:48 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Eigene Dateien\Eigene Dokumente
[2012/05/07 13:28:48 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Eigene Dateien\Eigene Bilder
[2012/05/07 13:28:48 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Cookies
[2012/05/07 13:28:48 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Druckumgebung
[2012/05/07 13:28:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\You've Got Pictures Screensaver
[2012/05/07 13:28:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Sun
[2012/05/07 13:28:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Real
[2012/05/07 13:28:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Macromedia
[2012/05/07 13:28:48 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Desktop
[2012/05/07 13:28:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Favoriten
[2012/05/07 13:28:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Eigene Dateien\Eigene Videos
[2012/05/07 13:28:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Eigene Dateien\Eigene Tabellen
[2012/05/07 13:28:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Eigene Dateien\Eigene Musik
[2012/05/07 13:28:47 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Eigene Dateien
[2012/05/07 13:28:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen\Anwendungsdaten\ApplicationHistory
[2012/05/07 13:28:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen\Anwendungsdaten\Adobe
[2012/05/07 13:28:46 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Trunkenbold\UserData
[2012/05/07 13:28:46 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\SendTo
[2012/05/07 13:28:46 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Recent
[2012/05/07 13:28:46 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Startmenü\Programme\Zubehör
[2012/05/07 13:28:46 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Startmenü
[2012/05/07 13:28:46 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Startmenü\Programme\Autostart
[2012/05/07 13:28:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Vorlagen
[2012/05/07 13:28:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Netzwerkumgebung
[2012/05/07 13:28:46 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen
[2012/05/07 13:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
[2012/05/07 13:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\WINDOWS
[2012/05/07 13:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2012/05/07 13:28:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen\Anwendungsdaten\{3248F0A6-6813-11D6-A77B-00B0D0150020}
[2012/05/04 04:47:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla
[2012/05/04 04:47:50 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[2012/04/26 07:28:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Witwe\Startmenü\Programme\Innonics
[2012/04/26 07:23:08 | 000,000,000 | ---D | C] -- C:\Programme\Innonics
[2012/04/22 05:51:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[2012/04/22 05:50:59 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/05/11 12:57:07 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/05/11 12:56:23 | 536,399,872 | -HS- | M] () -- C:\hiberfil.sys
[2012/05/11 07:37:51 | 000,474,160 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/05/11 07:37:51 | 000,454,044 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/05/11 07:37:51 | 000,090,784 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/05/11 07:37:51 | 000,074,794 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/05/11 07:36:59 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/05/11 07:36:36 | 000,125,320 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/05/11 07:35:54 | 000,000,329 | ---- | M] () -- C:\WINDOWS\System32\$winnt$.inf
[2012/05/11 07:33:03 | 000,000,000 | R--D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Verwaltung
[2012/05/11 07:32:59 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2012/05/11 07:32:58 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2012/05/11 07:32:58 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2012/05/11 07:32:46 | 000,004,161 | ---- | M] () -- C:\WINDOWS\ODBCINST.INI
[2012/05/11 07:31:37 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Movie Maker.lnk
[2012/05/11 07:31:02 | 000,023,588 | ---- | M] () -- C:\WINDOWS\System32\emptyregdb.dat
[2012/05/11 07:29:58 | 000,000,621 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Messenger.lnk
[2012/05/11 07:29:55 | 000,000,525 | ---- | M] () -- C:\WINDOWS\System32\mapisvc.inf
[2012/05/11 07:29:28 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2012/05/11 06:27:37 | 000,376,485 | ---- | M] () -- C:\WINDOWS\setupapi.old
[2012/05/08 10:48:04 | 000,004,454 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012/05/07 13:12:25 | 000,269,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe
[2012/05/07 13:12:25 | 000,269,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe
[2012/05/07 12:52:48 | 000,017,408 | ---- | M] (ICSI Technology Ltd.) -- C:\WINDOWS\System32\drivers\USBCRFT.SYS
[2012/05/07 12:52:43 | 000,021,787 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012/05/07 11:24:06 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012/05/06 13:26:08 | 000,000,868 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\GOM Player.lnk
[2012/05/06 13:26:08 | 000,000,850 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GOM Player.lnk
[2012/05/04 16:24:40 | 000,419,488 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2012/05/04 16:24:40 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2012/04/28 03:30:39 | 000,121,344 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/04/22 05:51:00 | 000,001,872 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2012/04/22 05:51:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Skype
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/05/11 09:51:01 | 536,399,872 | -HS- | C] () -- C:\hiberfil.sys
[2012/05/08 10:40:15 | 000,000,621 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Messenger.lnk
[2012/05/08 10:29:09 | 000,168,806 | ---- | C] () -- C:\WINDOWS\System32\dllcache\startoc.cat
[2012/05/08 10:29:09 | 000,041,270 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MW770.CAT
[2012/05/08 10:29:09 | 000,030,983 | ---- | C] () -- C:\WINDOWS\System32\dllcache\FP4.CAT
[2012/05/08 10:29:09 | 000,018,989 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msn7.cat
[2012/05/08 10:29:09 | 000,014,043 | ---- | C] () -- C:\WINDOWS\System32\dllcache\IMS.CAT
[2012/05/08 10:29:09 | 000,013,472 | ---- | C] () -- C:\WINDOWS\System32\dllcache\HPCRDP.CAT
[2012/05/08 10:29:09 | 000,011,651 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msn9.cat
[2012/05/08 10:29:09 | 000,009,581 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MSMSGS.CAT
[2012/05/08 10:29:09 | 000,008,574 | ---- | C] () -- C:\WINDOWS\System32\dllcache\IASNT4.CAT
[2012/05/08 10:29:09 | 000,007,245 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MSTSWEB.CAT
[2012/05/08 10:29:09 | 000,007,046 | ---- | C] () -- C:\WINDOWS\System32\dllcache\OEMBIOS.CAT
[2012/05/08 10:29:08 | 001,899,936 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5.CAT
[2012/05/08 10:29:08 | 000,817,199 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5IIS.CAT
[2012/05/08 10:29:08 | 000,399,645 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MAPIMIG.CAT
[2012/05/08 10:29:07 | 000,521,298 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5INF.CAT
[2012/05/07 13:29:10 | 000,269,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe
[2012/05/07 13:28:53 | 000,000,759 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2012/05/07 13:28:53 | 000,000,079 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Desktop anzeigen.scf
[2012/05/07 13:28:50 | 000,000,141 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2012/05/07 13:28:49 | 000,001,599 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Startmenü\Programme\Remoteunterstützung.lnk
[2012/05/07 13:28:49 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Startmenü\Programme\Internet Explorer.lnk
[2012/05/07 13:28:49 | 000,000,718 | ---- | C] () -- C:\Dokumente und Einstellungen\Trunkenbold\Startmenü\Programme\Outlook Express.lnk
[2012/05/07 13:12:29 | 000,269,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe
[2012/04/22 05:51:00 | 000,001,872 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Skype.lnk
[2012/02/16 09:15:41 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/01/19 19:29:02 | 000,158,214 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011/12/01 16:13:14 | 000,000,175 | ---- | C] () -- C:\WINDOWS\dievölkergold.ini
[2011/04/21 12:25:44 | 000,081,920 | ---- | C] () -- C:\WINDOWS\ASR32311.DLL
[2011/04/21 12:25:43 | 000,000,070 | ---- | C] () -- C:\WINDOWS\HGSpeech.ini
[2011/04/07 09:40:51 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2011/02/22 15:39:04 | 000,240,640 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2011/02/22 15:37:30 | 000,650,752 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2011/02/20 15:15:18 | 000,172,032 | R--- | C] () -- C:\WINDOWS\ESUSDX.DLL
[2011/02/20 15:15:18 | 000,077,824 | R--- | C] () -- C:\WINDOWS\ESUSD.DLL
[2011/02/12 09:13:53 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2011/02/07 05:36:08 | 000,097,312 | ---- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin
[2011/02/06 18:29:42 | 000,000,002 | ---- | C] () -- C:\WINDOWS\msoffice.ini
[2011/02/06 18:13:17 | 000,121,344 | ---- | C] () -- C:\Dokumente und Einstellungen\Witwe\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/02/06 17:08:32 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Witwe\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2011/02/06 17:07:35 | 000,000,141 | ---- | C] () -- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009/01/28 14:50:44 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2005/06/24 14:24:07 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005/06/24 06:42:31 | 000,003,072 | R--- | C] () -- C:\WINDOWS\System32\34CoInstaller.dll
[2005/06/24 04:54:05 | 000,127,184 | ---- | C] () -- C:\WINDOWS\Unwise.exe
[2005/06/23 14:23:06 | 000,001,256 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2005/06/23 14:22:58 | 000,474,160 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2005/06/23 14:22:58 | 000,090,784 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2005/06/23 14:22:48 | 000,454,044 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2005/06/23 14:22:48 | 000,074,794 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2005/06/23 14:22:45 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2005/06/23 13:23:03 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2005/06/23 13:15:37 | 000,000,335 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2005/06/23 13:13:52 | 000,004,184 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2005/06/23 13:13:52 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\ED17786B2C.sys
[2005/06/23 12:42:47 | 000,000,906 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2005/06/23 06:28:49 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005/06/23 06:28:09 | 000,125,320 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2005/06/23 06:17:33 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\vuins32.dll
[2005/06/23 06:10:27 | 000,000,269 | ---- | C] () -- C:\WINDOWS\Dit.INI
[2005/06/23 05:45:43 | 000,001,176 | ---- | C] () -- C:\WINDOWS\ImpTable.bin
[2005/06/23 05:45:42 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.exe
[2005/06/23 05:45:42 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2005/06/23 05:45:35 | 000,540,672 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2005/06/23 05:36:01 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2005/06/23 05:32:53 | 000,023,588 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004/09/28 17:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2004/08/04 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/08/04 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/08/04 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/08/04 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/08/04 08:00:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004/08/04 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/08/04 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/08/04 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/08/04 08:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2004/08/04 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/08/04 08:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2004/08/03 20:57:34 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2001/09/04 09:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001/09/04 09:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
 
========== LOP Check ==========
 
[2012/01/18 18:23:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\AVI ReComp
[2011/03/18 16:58:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\BSW
[2011/04/07 09:41:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Canneverbe Limited
[2011/10/20 06:04:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Ixuvup
[2011/06/30 06:06:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\JAM Software
[2011/06/24 06:50:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\My Games
[2011/02/15 10:08:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\OpenOffice.org
[2011/10/21 10:16:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Wocu
[2011/10/21 04:37:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\xrdkwi3axoebmwextwktd3i2hww3dik22
[2011/04/07 09:41:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2012/01/19 11:59:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Freemake
[2011/02/10 08:05:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
[2011/04/19 11:10:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lchinese
[2005/06/23 13:16:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
 
========== Purity Check ==========
 
 
< End of report >

Psychotic 28.05.2012 14:21
Schritt 1: Fix mit OTLPE

  • An einem anderen PC, klicke auf Start-->ausführen.
  • Schreibe Notepad in die Textbox, klicke OK.
  • Kopiere nun den Inhalt der folgenden Codebox vollständig in das leere Textdokument:
    Code:
    :OTL
    O4 - HKLM..\Run: [b9cGL1ecsM0LcuT] C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
    O4 - HKU\Trunkenbold_ON_C..\Run: [b9cGL1ecsM0LcuT] C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe ()
    O4 - HKU\Witwe_ON_C..\Run: [b9cGL1ecsM0LcuT] C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
    O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
    O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O7 - HKU\Trunkenbold_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
    O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O7 - HKU\Witwe_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
    O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
    O20 - HKU\Trunkenbold_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe ()
    O20 - HKU\Trunkenbold_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Trunkenbold\Anwendungsdaten\Iexploreder.exe ()
    O20 - HKU\Witwe_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
    O20 - HKU\Witwe_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe) - C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe ()
    [2012/05/07 13:12:25 | 000,269,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Iexploreder.exe
    [2011/10/20 06:04:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Ixuvup
    :COMMANDS
    [REBOOT]
  • Speichere die Datei als fix.txt auf einem USB-Stick.
  • Am infizierten Rechner, schließe den USB-Stick an, boote OTLPEN.
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Klicke nun bitte auf den Fix Button.
  • Lade die fix.txt von deinem Stick.
  • Klicke den Fix-Button.
  • Starte Windows nun normal. Es sollte sich eine OTL.txt öffnen, poste deren Inhalt in deinem nächsten Thread.

Biber 28.05.2012 19:30
Also, ich habe das jetzt gleich mehrmals versucht, aber es ändert sich nichts. Das Programm gibt an, dass es erfolgreich den Fix ausgeführt hat, dann starte ich normal, aber es sind immer noch sämtliche Desktopsymbole weg. Eine neue OTL-Datei wird auch nicht erstellt, hab beim letzten Mal extra die erste, die ich oben schon gepostet hatte, aus dem Ordner genommen und nochmal probiert. Nur die Uhr stellt sich jedesmal eine Stunde vor. Eine Ahnung, wo der Fehler liegen könnte?

Psychotic 28.05.2012 23:31
starte den Rechner, klicke mit rechts auf den Desktophintergrund.
Im Menü sollte es einen Punkt "view" und "show icons" geben, wähle dies an.

Siehst du jetzt deine Icons wieder?

Biber 29.05.2012 09:04
Jawoll, juhu, alles wieder vollgeramscht.^^

Psychotic 29.05.2012 09:07
Schritt 1: defogger


Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.
  • Starte das Tool mit Doppelklick.
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
  • Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
  • Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.
Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.



Schritt 2: GMER


Bitte
  • alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
  • keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
  • nichts am Rechner arbeiten,
  • nach jedem Scan der Rechner neu gestarten.
Gmer scannen lassen
  • Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
  • Alle anderen Programme sollen geschlossen sein.
  • Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
  • Sollte sich ein Fenster mit folgender Warnung öffnen:
    WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?
    Unbedingt auf "No" klicken.
  • Entferne rechts den Hacken bei:
    • IAT/EAT
    • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
    • Show all (sollte abgehackt sein)
  • Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
  • Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!



Schritt 3: OTL (custom)


Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
/md5start
explorer.exe
regedit.exe
winlogon.exe
wininit.exe
userinit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
CREATERESTOREPOINT
  • Schliesse bitte nun alle Programme. (Wichtig)
  • Klicke nun bitte auf den Quick Scan Button.
  • Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Biber 29.05.2012 22:38
Okay, hab alles gemacht. Eine "Extras"-Datei hat OTL nicht erstellt, oder zumindest ist keine in dem Ordner, in dem die andere OTL-Datei ist.

Code:
OTL logfile created on: 29.05.2012 23:19:52 - Run
OTLPE by OldTimer - Version 3.1.48.0    Folder = C:\
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,00 Mb Total Physical Memory | 221,00 Mb Available Physical Memory | 43,00% Memory free
1,00 Gb Paging File | 1,00 Gb Available in Paging File | 77,00% Paging File free
Paging file location(s): c:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 116,45 Gb Total Space | 1,81 Gb Free Space | 1,55% Space Free | Partition Type: NTFS
Drive D: | 106,67 Gb Total Space | 0,16 Gb Free Space | 0,15% Space Free | Partition Type: NTFS
Drive E: | 9,76 Gb Total Space | 7,20 Gb Free Space | 73,81% Space Free | Partition Type: FAT32
Drive H: | 963,00 Mb Total Space | 507,03 Mb Free Space | 52,65% Space Free | Partition Type: FAT
 
Computer Name: GLOMBATSCH | User Name: Witwe
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2012.05.04 22:24:44 | 000,257,696 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.05.04 10:47:39 | 000,129,976 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.02.29 08:50:48 | 000,158,856 | R--- | M] (Skype Technologies) [Auto] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.01.13 15:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) [Auto] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011.08.23 09:23:36 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.06.11 10:52:13 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.03.04 22:38:00 | 000,071,096 | ---- | M] () [Auto] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccess)
SRV - [2001.11.12 14:31:48 | 000,020,480 | ---- | M] (X10) [On_Demand] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (wanatw) WAN Miniport (ATW)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2012.05.29 23:17:52 | 000,017,408 | ---- | M] (ICSI Technology Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\USBCRFT.SYS -- (CardReaderFilter)
DRV - [2011.12.10 16:24:06 | 000,020,464 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2011.08.23 09:23:42 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.08.23 09:23:42 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.06.17 15:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.06.17 15:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009.11.12 14:48:56 | 000,005,504 | ---- | M] () [File_System | Auto] -- C:\WINDOWS\System32\drivers\StarOpen.sys -- (StarOpen)
DRV - [2006.02.23 18:16:36 | 000,264,704 | ---- | M] (AVM GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\fwlanusb.sys -- (FWLANUSB)
DRV - [2005.06.08 03:35:08 | 000,799,744 | ---- | M] (Philips Semiconductors GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\3xHybrid.sys -- (3xHybrid)
DRV - [2005.05.12 14:39:56 | 001,287,296 | ---- | M] (C-Media Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\cmudax.sys -- (cmudax)
DRV - [2004.10.08 11:51:08 | 001,270,540 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2004.08.04 14:00:00 | 000,015,360 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\mpe.sys -- (MPE)
DRV - [2004.03.24 04:12:34 | 000,017,280 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\nsndis5.sys -- (NSNDIS5)
DRV - [2004.03.17 16:10:40 | 000,113,664 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2001.11.14 19:07:42 | 000,010,761 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\x10uif.sys -- (X10UIF)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com
 
IE - HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com
 
IE - HKU\S-1-5-21-939412175-625232168-490484462-1006\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/
IE - HKU\S-1-5-21-939412175-625232168-490484462-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.startup.homepage: "hxxp://d-addicts.com/forum/"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}:5.3.0.7280
FF - prefs.js..network.proxy.type: 4
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.450: C:\Programme\Real Alternative\Browser\Plugins\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Programme\Real Alternative\Browser\Plugins\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: 
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.05.04 10:47:39 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 12.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.10.12 08:04:44 | 000,000,000 | ---D | M]
 
[2011.02.07 00:40:56 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Mozilla\Extensions
[2011.02.07 00:40:56 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Mozilla\Firefox\Profiles\s4usn4mk.default\extensions
[2012.03.19 12:01:55 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012.04.22 11:52:13 | 000,000,000 | ---D | M] (Skype Click to Call) -- C:\Programme\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
File not found (No name found) --
[2012.05.04 10:47:39 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2012.02.20 11:41:57 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2009.08.03 15:07:42 | 000,373,104 | ---- | M] (Microsoft Corporation) -- C:\Programme\mozilla firefox\plugins\npOGAPlugin.dll
[2010.12.09 12:47:06 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll
[2011.09.30 19:32:13 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.09.30 19:32:13 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.09.30 19:32:13 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2011.09.30 19:32:13 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.09.30 19:32:13 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.09.30 19:32:13 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004.08.04 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (AcroIEHlprObj Class) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKU\S-1-5-21-939412175-625232168-490484462-1006\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe (AVM Berlin GmbH)
O4 - HKLM..\Run: [Cmaudio]  File not found
O4 - HKLM..\Run: [Dit] C:\WINDOWS\Dit.exe (ICSI Technology Ltd.)
O4 - HKLM..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE (Microsoft Corporation)
O4 - HKLM..\Run: [Keyboard Status] C:\Programme\Medion\KeyStat\KeyStat.exe ()
O4 - HKLM..\Run: [MSPY2002]  File not found
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe (NVIDIA Corporation)
O4 - HKLM..\Run: [PHIME2002A]  File not found
O4 - HKLM..\Run: [PHIME2002ASync]  File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] C:\WINDOWS\System32\Hdaudpropshortcut.exe (Windows (R) Server 2003 DDK provider)
O4 - HKU\S-1-5-21-939412175-625232168-490484462-1006..\Run: [Spotify]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-939412175-625232168-490484462-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O7 - HKU\S-1-5-21-939412175-625232168-490484462-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKU\S-1-5-21-939412175-625232168-490484462-1006\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutorunSetting = 1
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1119522480859 (WUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab (Java Plug-in 1.6.0_31)
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} hxxp://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx (CRLDownloadWrapper Class)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKU\S-1-5-21-939412175-625232168-490484462-1006 Winlogon: Shell - (c:\dokumente und einstellungen\witwe\anwendungsdaten\iexploreder.exe) -  File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Witwe\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Witwe\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.06.23 11:34:25 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006.03.24 13:06:42 | 000,000,053 | ---- | M] () - H:\AUTORUN.INF -- [ FAT ]
O33 - MountPoints2\{ab63c894-329d-11e0-9c99-0013d32726df}\Shell - "" = AutoRun
O33 - MountPoints2\{ab63c894-329d-11e0-9c99-0013d32726df}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{ab63c894-329d-11e0-9c99-0013d32726df}\Shell\AutoRun\command - "" = H:\pushinst.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {0213C6AF-5562-4D09-884C-2ADCFC8C2F35} - Microsoft .NET Framework 1.1 Security Update (KB2656353)
ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {166B1BCA-3F9C-11CF-8075-444553540000} - Macromedia Shockwave Director 10.1
ActiveX: {1897C549-AE52-4571-8996-44854F5612B2} - Microsoft .NET Framework 1.1 Security Update (KB2656370)
ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A202491-F00D-11cf-87CC-0020AFEECF20} - Macromedia Shockwave Director 10.1
ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {8b15971b-5355-4c82-8c07-7e181ea07608} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\fxsocm.inf,Fax.Install.PerUser
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {94de52c8-2d59-4f1b-883e-79663d2d9a8c} - Fax Provider
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} -
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {VRTy20kJ-wDoT-SL8F-b3ym-twDZzHD3Yzbi} -
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.05.21 19:20:10 | 002,237,440 | R--- | C] (OldTimer Tools) -- C:\OTLPE.exe
[2012.05.21 19:20:08 | 000,000,000 | ---D | C] -- C:\_OTL
[2012.05.21 19:11:48 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
[2012.05.20 23:38:26 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\LocalService\Recent
[2012.05.11 13:37:05 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch
[2012.05.04 10:47:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Mozilla
[2012.05.04 10:47:50 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Maintenance Service
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.05.29 23:17:52 | 000,017,408 | ---- | M] (ICSI Technology Ltd.) -- C:\WINDOWS\System32\drivers\USBCRFT.SYS
[2012.05.29 23:16:55 | 000,021,787 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012.05.29 23:16:32 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.05.29 23:16:30 | 536,399,872 | -HS- | M] () -- C:\hiberfil.sys
[2012.05.29 22:24:17 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.05.29 10:21:34 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\Desktop\0efuz515.exe
[2012.05.29 10:18:49 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\defogger_reenable
[2012.05.29 10:17:08 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\Desktop\Defogger.exe
[2012.05.28 17:11:23 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.05.27 17:23:22 | 000,121,344 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.05.27 16:49:30 | 000,474,160 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.05.27 16:49:30 | 000,454,044 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.05.27 16:49:30 | 000,090,784 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.05.27 16:49:30 | 000,074,794 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.05.11 13:36:36 | 000,125,320 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.05.11 13:35:54 | 000,000,329 | ---- | M] () -- C:\WINDOWS\System32\$winnt$.inf
[2012.05.11 13:33:03 | 000,000,000 | R--D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Verwaltung
[2012.05.11 13:32:59 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2012.05.11 13:32:58 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2012.05.11 13:32:58 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2012.05.11 13:32:46 | 000,004,161 | ---- | M] () -- C:\WINDOWS\ODBCINST.INI
[2012.05.11 13:31:37 | 000,000,762 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Movie Maker.lnk
[2012.05.11 13:31:02 | 000,023,588 | ---- | M] () -- C:\WINDOWS\System32\emptyregdb.dat
[2012.05.11 13:29:58 | 000,000,621 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Messenger.lnk
[2012.05.11 13:29:55 | 000,000,525 | ---- | M] () -- C:\WINDOWS\System32\mapisvc.inf
[2012.05.11 13:29:28 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2012.05.11 12:27:37 | 000,376,485 | ---- | M] () -- C:\WINDOWS\setupapi.old
[2012.05.08 16:48:04 | 000,004,454 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.05.06 19:26:08 | 000,000,868 | ---- | M] () -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\GOM Player.lnk
[2012.05.06 19:26:08 | 000,000,850 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\GOM Player.lnk
[7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.05.29 10:22:40 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Witwe\Desktop\0efuz515.exe
[2012.05.29 10:18:49 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Witwe\defogger_reenable
[2012.05.29 10:18:04 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Witwe\Desktop\Defogger.exe
[2012.05.11 15:51:01 | 536,399,872 | -HS- | C] () -- C:\hiberfil.sys
[2012.05.08 16:40:15 | 000,000,621 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Windows Messenger.lnk
[2012.05.08 16:29:09 | 000,168,806 | ---- | C] () -- C:\WINDOWS\System32\dllcache\startoc.cat
[2012.05.08 16:29:09 | 000,041,270 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MW770.CAT
[2012.05.08 16:29:09 | 000,030,983 | ---- | C] () -- C:\WINDOWS\System32\dllcache\FP4.CAT
[2012.05.08 16:29:09 | 000,018,989 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msn7.cat
[2012.05.08 16:29:09 | 000,014,043 | ---- | C] () -- C:\WINDOWS\System32\dllcache\IMS.CAT
[2012.05.08 16:29:09 | 000,013,472 | ---- | C] () -- C:\WINDOWS\System32\dllcache\HPCRDP.CAT
[2012.05.08 16:29:09 | 000,011,651 | ---- | C] () -- C:\WINDOWS\System32\dllcache\msn9.cat
[2012.05.08 16:29:09 | 000,009,581 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MSMSGS.CAT
[2012.05.08 16:29:09 | 000,008,574 | ---- | C] () -- C:\WINDOWS\System32\dllcache\IASNT4.CAT
[2012.05.08 16:29:09 | 000,007,245 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MSTSWEB.CAT
[2012.05.08 16:29:09 | 000,007,046 | ---- | C] () -- C:\WINDOWS\System32\dllcache\OEMBIOS.CAT
[2012.05.08 16:29:08 | 001,899,936 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5.CAT
[2012.05.08 16:29:08 | 000,817,199 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5IIS.CAT
[2012.05.08 16:29:08 | 000,399,645 | ---- | C] () -- C:\WINDOWS\System32\dllcache\MAPIMIG.CAT
[2012.05.08 16:29:07 | 000,521,298 | ---- | C] () -- C:\WINDOWS\System32\dllcache\NT5INF.CAT
[2012.02.16 15:15:41 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.01.20 01:29:02 | 000,158,214 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011.12.01 22:13:14 | 000,000,175 | ---- | C] () -- C:\WINDOWS\dievölkergold.ini
[2011.04.21 18:25:44 | 000,081,920 | ---- | C] () -- C:\WINDOWS\ASR32311.DLL
[2011.04.21 18:25:43 | 000,000,070 | ---- | C] () -- C:\WINDOWS\HGSpeech.ini
[2011.04.07 15:40:51 | 000,005,504 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2011.02.22 21:39:04 | 000,240,640 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2011.02.22 21:37:30 | 000,650,752 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2011.02.20 21:15:18 | 000,172,032 | R--- | C] () -- C:\WINDOWS\ESUSDX.DLL
[2011.02.20 21:15:18 | 000,077,824 | R--- | C] () -- C:\WINDOWS\ESUSD.DLL
[2011.02.12 15:13:53 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2011.02.07 11:36:08 | 000,097,312 | ---- | C] () -- C:\WINDOWS\System32\drivers\Fwusb1b.bin
[2011.02.07 00:29:42 | 000,000,002 | ---- | C] () -- C:\WINDOWS\msoffice.ini
[2011.02.07 00:13:17 | 000,121,344 | ---- | C] () -- C:\Dokumente und Einstellungen\Witwe\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011.02.06 23:08:32 | 000,000,138 | ---- | C] () -- C:\Dokumente und Einstellungen\Witwe\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2011.02.06 23:07:35 | 000,000,141 | ---- | C] () -- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2009.01.28 20:50:44 | 000,153,088 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2005.06.24 20:24:07 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2005.06.24 12:42:31 | 000,003,072 | R--- | C] () -- C:\WINDOWS\System32\34CoInstaller.dll
[2005.06.24 10:54:05 | 000,127,184 | ---- | C] () -- C:\WINDOWS\Unwise.exe
[2005.06.23 20:23:06 | 000,001,256 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2005.06.23 20:22:58 | 000,474,160 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2005.06.23 20:22:58 | 000,090,784 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2005.06.23 20:22:48 | 000,454,044 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2005.06.23 20:22:48 | 000,074,794 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2005.06.23 20:22:45 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2005.06.23 19:23:03 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2005.06.23 19:15:37 | 000,000,335 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2005.06.23 19:13:52 | 000,004,184 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2005.06.23 19:13:52 | 000,000,008 | RHS- | C] () -- C:\WINDOWS\System32\ED17786B2C.sys
[2005.06.23 18:42:47 | 000,000,906 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2005.06.23 12:28:49 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2005.06.23 12:28:09 | 000,125,320 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2005.06.23 12:17:33 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\vuins32.dll
[2005.06.23 12:10:27 | 000,000,269 | ---- | C] () -- C:\WINDOWS\Dit.INI
[2005.06.23 11:45:43 | 000,001,176 | ---- | C] () -- C:\WINDOWS\ImpTable.bin
[2005.06.23 11:45:42 | 000,237,568 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.exe
[2005.06.23 11:45:42 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2005.06.23 11:45:35 | 000,540,672 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2005.06.23 11:36:01 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2005.06.23 11:32:53 | 000,023,588 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.09.28 23:54:30 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2004.08.04 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004.08.04 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004.08.04 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004.08.04 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004.08.04 14:00:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004.08.04 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004.08.04 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004.08.04 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004.08.04 14:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2004.08.04 14:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.08.04 14:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2004.08.04 02:57:34 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2001.09.04 15:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.09.04 15:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
 
========== LOP Check ==========
 
[2012.01.19 00:23:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\AVI ReComp
[2011.03.18 22:58:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\BSW
[2011.04.07 15:41:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Canneverbe Limited
[2011.06.30 12:06:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\JAM Software
[2011.06.24 12:50:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\My Games
[2011.02.15 16:08:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\OpenOffice.org
[2011.10.21 16:16:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\Wocu
[2011.10.21 10:37:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Witwe\Anwendungsdaten\xrdkwi3axoebmwextwktd3i2hww3dik22
[2011.04.07 15:41:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited
[2012.01.19 17:59:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Freemake
[2011.02.10 14:05:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
[2011.04.19 17:10:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lchinese
[2005.06.23 19:16:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2012.05.11 12:05:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2012.05.11 13:31:55 | 000,000,000 | R--D | M] -- C:\Programme
[2011.02.07 00:10:47 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2012.05.11 13:37:13 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2012.05.11 18:45:18 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2012.05.21 19:20:08 | 000,000,000 | ---D | M] -- C:\_OTL
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: %LOCALAPPDATA%\*.exe
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: EXPLORER.EXE  >
[2004.08.04 14:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2004.08.04 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\I386\REGEDIT.EXE
[2004.08.04 14:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2004.08.04 14:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 14:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe
[2012.01.13 15:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2004.08.04 14:00:00 | 001,836,032 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
"NoAutoRebootWithLoggedOnUsers" = 1
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2012-04-12 09:33:44
 
< CREATERESTOREPOINT >
 
< End of report >

Psychotic 30.05.2012 07:52
OK, dann poste mir die Logdatei von Gmer bitte noch!

Biber 30.05.2012 10:49
Code:
GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-05-29 23:14:27
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-17 WDC_WD2500JD-00HBB0 rev.08.02D08
Running: 0efuz515.exe; Driver: C:\DOKUME~1\Witwe\LOKALE~1\Temp\fwlyakoc.sys


---- System - GMER 1.0.15 ----

SSDT            F8C98CD6                              ZwCreateKey
SSDT            F8C98CCC                              ZwCreateThread
SSDT            F8C98CDB                              ZwDeleteKey
SSDT            F8C98CE5                              ZwDeleteValueKey
SSDT            F8C98CEA                              ZwLoadKey
SSDT            F8C98CB8                              ZwOpenProcess
SSDT            F8C98CBD                              ZwOpenThread
SSDT            F8C98CF4                              ZwReplaceKey
SSDT            F8C98CEF                              ZwRestoreKey
SSDT            F8C98CE0                              ZwSetValueKey

---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwCallbackReturn + 24B4  805011B8 4 Bytes  [EA, 8C, C9, F8]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat              fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

Psychotic 30.05.2012 11:10
Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
    Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die End Nutzer Lizenz.
    Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls was schief geht.
    Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.


Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Psychotic 01.06.2012 06:54
Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Biber 01.06.2012 16:55
Sorry, mein Internet macht grad Probleme, ich arbeite noch an der Combofix-Sache.

Psychotic 03.06.2012 22:44
OK, ich warte

Biber 05.06.2012 16:16
So, puh, das hat gedauert. Also, die echten beiden Schritte gingen ja recht flott, aber gell, da kann ich nix von posten? Weil, ich's hab's doch irgendwann noch geschafft, lange genug im Internet zu bleiben, dass combofix diese Wiederherstellungskonsole runterladen konnte. Da steht dann, dass combofix einen Scan ausführen wird, der 10 Minuten oder halt ein bissle länger dauert, aber ich hab's mehrmals versucht, es tut sich dabei nix, was ich erkennen könnte. Hab's bis über vier Stunden laufen lassen, da kommt weder ein Scanbericht, noch kann ich überhaupt erkennen, dass ein Fortschritt gemacht wird.

Psychotic 05.06.2012 16:29
Starte den Computer im abgesicherten Modus und versuche Combofix erneut!


Abgesicherter Modus zur Bereinigung

Biber 06.06.2012 08:52
Ah gut, es hat geklappt. Combofix hat vorher angekündigt, dass es abgelaufen sei, aber da ich in der letzten Zeit nicht im Netz war mit dem PC, außer eben um mit Combofix diese Wiederherstellungskonsole zu laden, hab ich mal angenommen, dass das nicht so schlimm ist und es ignoriert.
Code:
ComboFix 12-05-30.04 - Witwe 06.06.2012  9:31.1.1 - x86 NETWORK
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.511.260 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Witwe\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Administrator.GLOMBATSCH.000\Anwendungsdaten\Iexploreder.exe
c:\dokumente und einstellungen\Administrator.GLOMBATSCH.000\WINDOWS
c:\dokumente und einstellungen\Administrator.GLOMBATSCH\Anwendungsdaten\Iexploreder.exe
c:\dokumente und einstellungen\Administrator.GLOMBATSCH\WINDOWS
c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Iexploreder.exe
c:\dokumente und einstellungen\Administrator\WINDOWS
c:\dokumente und einstellungen\Default User\WINDOWS
c:\dokumente und einstellungen\Trunkenbold\WINDOWS
c:\dokumente und einstellungen\Witwe\WINDOWS
c:\programme\xp-AntiSpy
c:\programme\xp-AntiSpy\Uninstall.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.chm
c:\programme\xp-AntiSpy\xp-AntiSpy.exe
c:\programme\xp-AntiSpy\xp-AntiSpy.url
c:\windows\EventSystem.log
c:\windows\system32\avisynth.dll
c:\windows\system32\config\systemprofile\WINDOWS
c:\windows\system32\devil.dll
c:\windows\system32\Thumbs.db
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-05-06 bis 2012-06-06  ))))))))))))))))))))))))))))))
.
.
2012-05-21 17:20 . 2011-07-13 02:55        2237440        ----a-r-        C:\OTLPE.exe
2012-05-21 17:20 . 2012-05-21 17:20        --------        d-----w-        C:\_OTL
2012-05-21 17:11 . 2012-05-21 17:11        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Eigene Dateien
2012-05-11 11:21 . 2004-08-04 12:00        24661        ----a-w-        c:\windows\system32\spxcoins.dll
2012-05-11 11:21 . 2004-08-04 12:00        13824        ----a-w-        c:\windows\system32\irclass.dll
2012-05-11 11:21 . 2004-08-04 12:00        14043        ----a-r-        c:\windows\SET4B.tmp
2012-05-11 11:21 . 2004-08-04 12:00        1086058        ----a-r-        c:\windows\SET3F.tmp
2012-05-11 11:21 . 2004-08-04 12:00        1014663        ----a-r-        c:\windows\SET3C.tmp
2012-05-08 14:42 . 2004-08-04 12:00        16384        ----a-w-        c:\programme\Internet Explorer\Connection Wizard\isignup.exe
2012-05-08 14:40 . 2004-08-03 23:11        82944        ----a-w-        c:\programme\Messenger\msgsc.dll
2012-05-08 14:40 . 2004-08-03 23:11        180224        ----a-w-        c:\programme\Messenger\msgslang.dll
2012-05-08 14:40 . 2004-08-03 23:11        1667584        ------w-        c:\programme\Messenger\msmsgs.exe
2012-05-08 14:40 . 2004-08-04 12:00        28672        ----a-w-        c:\programme\Messenger\custsat.dll
2012-05-08 14:29 . 2004-08-04 12:00        14043        ----a-r-        c:\windows\SET114.tmp
2012-05-08 14:29 . 2004-08-04 12:00        1086058        ----a-r-        c:\windows\SET108.tmp
2012-05-08 14:28 . 2004-08-04 12:00        1014663        ----a-r-        c:\windows\SET105.tmp
2012-05-07 17:56 . 2012-06-06 07:32        --------        d-----w-        c:\dokumente und einstellungen\Administrator
2012-05-07 17:28 . 2012-06-06 07:32        --------        d-----w-        c:\dokumente und einstellungen\Trunkenbold
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-03 19:45 . 2005-06-23 10:10        17408        ----a-w-        c:\windows\system32\drivers\USBCRFT.SYS
2012-05-04 20:24 . 2012-03-30 10:04        419488        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-05-04 20:24 . 2011-05-14 08:41        70304        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-04 08:47 . 2011-05-13 12:54        97208        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368]
"nwiz"="nwiz.exe" [2005-04-01 1495040]
"Dit"="Dit.exe" [2004-07-20 90112]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 61952]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]
"Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-03-01 327680]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="explorer.exe,"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Innonics\\Wiggles\\Wiggles.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"25542:UDP"= 25542:UDP:UDP 25542
"28695:TCP"= 28695:TCP:TCP 28695
.
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.02.2011 12:19 136360]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [11.09.2011 19:05 652360]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [29.02.2012 08:50 158856]
S3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [23.06.2005 11:06 799744]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [30.03.2012 12:04 257696]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [23.06.2005 12:10 17408]
S3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [23.06.2005 11:45 1287296]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [07.02.2011 11:36 264704]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [11.09.2011 19:05 20464]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [04.05.2012 10:47 129976]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{59bb4c14-3234-11e0-9c98-806d6172696f}]
\Shell\AutoRun\command - G:\setup.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a04dcab8-c7e9-11e0-9d9d-00040ec87e36}]
\Shell\AutoRun\command - H:\reatogoMenu.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab63c894-329d-11e0-9c99-0013d32726df}]
\Shell\AutoRun\command - H:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-03 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 20:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi.com/
uInternet Connection Wizard,ShellNext = hxxp://www.google.com/support/chrome/bin/request.py?hl=en-US&contact_type=uninstall&crversion=9.0.597.98&os=5.1.2600
FF - ProfilePath - c:\dokumente und einstellungen\Witwe\Anwendungsdaten\Mozilla\Firefox\Profiles\s4usn4mk.default\
FF - prefs.js: browser.startup.homepage - hxxp://d-addicts.com/forum/
FF - prefs.js: network.proxy.type - 4
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Spotify - c:\dokumente und einstellungen\Witwe\Anwendungsdaten\Spotify\Spotify.exe
HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-MSPY2002 - c:\windows\system32\IME\PINTLGNT\ImScInst.exe
HKLM-Run-PHIME2002ASync - c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
HKLM-Run-PHIME2002A - c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE
AddRemove-xp-AntiSpy - c:\programme\xp-AntiSpy\Uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-06 09:33
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-06  09:35:37
ComboFix-quarantined-files.txt  2012-06-06 07:35
.
Vor Suchlauf: 2.738.520.064 Bytes frei
Nach Suchlauf: 2.807.291.904 Bytes frei
.
- - End Of File - - 63664B75F5F1B4ADEACF94F0DE0D912A

Psychotic 06.06.2012 08:54
Aktualisiere Combofix und führe es erneut aus!

Biber 06.06.2012 17:41
Alles klar.^^;
Diesmal brauchte ich den abgesicherten Modus interessanterweise nicht.
Code:
ComboFix 12-06-05.04 - Witwe 06.06.2012  15:39:04.2.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.511.150 [GMT 2:00]
ausgeführt von:: H:\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\IsUn0407.exe
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-05-06 bis 2012-06-06  ))))))))))))))))))))))))))))))
.
.
2012-05-21 17:20 . 2011-07-13 02:55        2237440        ----a-r-        C:\OTLPE.exe
2012-05-21 17:20 . 2012-05-21 17:20        --------        d-----w-        C:\_OTL
2012-05-21 17:11 . 2012-05-21 17:11        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Eigene Dateien
2012-05-11 11:21 . 2004-08-04 12:00        24661        ----a-w-        c:\windows\system32\spxcoins.dll
2012-05-11 11:21 . 2004-08-04 12:00        13824        ----a-w-        c:\windows\system32\irclass.dll
2012-05-11 11:21 . 2004-08-04 12:00        14043        ----a-r-        c:\windows\SET4B.tmp
2012-05-11 11:21 . 2004-08-04 12:00        1086058        ----a-r-        c:\windows\SET3F.tmp
2012-05-11 11:21 . 2004-08-04 12:00        1014663        ----a-r-        c:\windows\SET3C.tmp
2012-05-08 14:42 . 2004-08-04 12:00        16384        ----a-w-        c:\programme\Internet Explorer\Connection Wizard\isignup.exe
2012-05-08 14:40 . 2004-08-03 23:11        82944        ----a-w-        c:\programme\Messenger\msgsc.dll
2012-05-08 14:40 . 2004-08-03 23:11        180224        ----a-w-        c:\programme\Messenger\msgslang.dll
2012-05-08 14:40 . 2004-08-03 23:11        1667584        ------w-        c:\programme\Messenger\msmsgs.exe
2012-05-08 14:40 . 2004-08-04 12:00        28672        ----a-w-        c:\programme\Messenger\custsat.dll
2012-05-08 14:29 . 2004-08-04 12:00        14043        ----a-r-        c:\windows\SET114.tmp
2012-05-08 14:29 . 2004-08-04 12:00        1086058        ----a-r-        c:\windows\SET108.tmp
2012-05-08 14:28 . 2004-08-04 12:00        1014663        ----a-r-        c:\windows\SET105.tmp
2012-05-07 17:56 . 2012-06-06 07:32        --------        d-----w-        c:\dokumente und einstellungen\Administrator
2012-05-07 17:28 . 2012-06-06 07:32        --------        d-----w-        c:\dokumente und einstellungen\Trunkenbold
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-06 09:32 . 2005-06-23 10:10        17408        ----a-w-        c:\windows\system32\drivers\USBCRFT.SYS
2012-05-04 20:24 . 2012-03-30 10:04        419488        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-05-04 20:24 . 2011-05-14 08:41        70304        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-04 08:47 . 2011-05-13 12:54        97208        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((  SnapShot@2012-06-06_07.33.22  )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-06-06 07:41 . 2012-06-06 07:41        16384              c:\windows\temp\Perflib_Perfdata_510.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368]
"nwiz"="nwiz.exe" [2005-04-01 1495040]
"Dit"="Dit.exe" [2004-07-20 90112]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 61952]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]
"Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-03-01 327680]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Innonics\\Wiggles\\Wiggles.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"25542:UDP"= 25542:UDP:UDP 25542
"28695:TCP"= 28695:TCP:TCP 28695
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.02.2011 12:19 136360]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [11.09.2011 19:05 652360]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [23.06.2005 11:06 799744]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [23.06.2005 11:45 1287296]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [11.09.2011 19:05 20464]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [29.02.2012 08:50 158856]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [30.03.2012 12:04 257696]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [23.06.2005 12:10 17408]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [07.02.2011 11:36 264704]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [04.05.2012 10:47 129976]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-06 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 20:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi.com/
uInternet Connection Wizard,ShellNext = hxxp://www.google.com/support/chrome/bin/request.py?hl=en-US&contact_type=uninstall&crversion=9.0.597.98&os=5.1.2600
FF - ProfilePath - c:\dokumente und einstellungen\Witwe\Anwendungsdaten\Mozilla\Firefox\Profiles\s4usn4mk.default\
FF - prefs.js: browser.startup.homepage - hxxp://d-addicts.com/forum/
FF - prefs.js: network.proxy.type - 4
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Cultures - Die Entdeckung Vinlands - c:\windows\IsUn0407.exe
AddRemove-KeyStat - c:\windows\unin0407.exe
AddRemove-Microsoft Interactive Training - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-06 15:49
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
Zeit der Fertigstellung: 2012-06-06  15:52:52
ComboFix-quarantined-files.txt  2012-06-06 13:52
ComboFix2.txt  2012-06-06 07:35
.
Vor Suchlauf: 2.201.612.288 Bytes frei
Nach Suchlauf: 2.125.123.584 Bytes frei
.
- - End Of File - - 3AA1F3E65584DEF1E4EAFF739A96EE22

Psychotic 11.06.2012 07:03
Zitat:
"25542:UDP"= 25542:UDP:UDP 25542
"28695:TCP"= 28695:TCP:TCP 28695
Hast du diese Ports in der Firewall geöffnet?

Psychotic 13.06.2012 08:49
Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Biber 13.06.2012 15:35
Wenn ich die Ports geöffnet habe, dann zumindest nicht bewusst, da ich keine Ahnung habe, wie das geht.

Psychotic 14.06.2012 08:04
Schritt 1: CF-Script


Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von einem der folgenden Download-Spiegel neu herunter:
BleepingComputer.com - ForoSpyware.com
und speichere es erneut auf dem Desktop (nicht woanders hin, das ist wichtig)!

Drücke die Windows + R Taste --> Notepad (hinein schreiben) --> OK

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.
Code:
REGISTRY::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"25542:UDP"=-
"28695:TCP"=-
CLEARJAVACACHE::
Speichere dies als CFScript.txt auf Deinem Desktop.

Wichtig:
  • Stelle deine Anti Viren Software temprär ab. Dies kann ComboFix nämlich bei der Arbeit behindern.
    Danach wieder anstellen nicht vergessen!
  • Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
    Dies kann dazu führen, dass ComboFix sich aufhängt.
  • Schließe alle laufenden Programme. Gehe sicher das ComboFix ungehindert arbeiten kann.
  • Mache nichts am PC solange ComboFix läuft.
http://i266.photobucket.com/albums/i.../CFScriptB.gif
  • In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
  • Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.



Schritt 2: MBAM


Downloade Dir bitte Malwarebytes
  • Installiere das Programm in den vorgegebenen Pfad.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Starte Malwarebytes, klicke auf Aktualisierung --> Suche nach Aktualisierung
  • Wenn das Update beendet wurde, aktiviere Vollständigen Scan durchführen und drücke auf Scannen.(Hinweis: Alle Festplatten anhaken!
  • Wenn der Scan beendet ist, klicke auf Ergebnisse anzeigen.
  • Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
  • Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
  • Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Psychotic 18.06.2012 08:32
Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Biber 18.06.2012 21:50
Sorry, hätte mal kurz Zwischenmeldung machen sollen. Hatte Probleme, Combofix neu auf den Desktop zu bekommen. Mittlerweile muss ich Pause machen, weil ich erst frühestens morgen wieder an den Rechner kann. Hoffe ich. ^^;

So, hat mal wieder Stunden gedauert, mittlerweile glaub ich, diese 10 Minuten, die Combofix einem da immer verspricht, sind reiner Hohn.^^
Code:
ComboFix 12-06-19.01 - Witwe 19.06.2012  17:06:06.3.1 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.511.247 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Witwe\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Witwe\Desktop\CFScript.txt
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((  Dateien erstellt von 2012-05-19 bis 2012-06-19  ))))))))))))))))))))))))))))))
.
.
2012-05-21 17:20 . 2011-07-13 02:55        2237440        ----a-r-        C:\OTLPE.exe
2012-05-21 17:20 . 2012-05-21 17:20        --------        d-----w-        C:\_OTL
2012-05-21 17:11 . 2012-05-21 17:11        --------        d-----r-        c:\dokumente und einstellungen\LocalService\Eigene Dateien
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-19 09:15 . 2005-06-23 10:10        17408        ----a-w-        c:\windows\system32\drivers\USBCRFT.SYS
2012-05-04 20:24 . 2012-03-30 10:04        419488        ----a-w-        c:\windows\system32\FlashPlayerApp.exe
2012-05-04 20:24 . 2011-05-14 08:41        70304        ----a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl
2012-05-04 08:47 . 2011-05-13 12:54        97208        ----a-w-        c:\programme\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((  SnapShot@2012-06-06_07.33.22  )))))))))))))))))))))))))))))))))))))))))
.
+ 2012-06-19 09:14 . 2012-06-19 09:14        16384              c:\windows\temp\Perflib_Perfdata_51c.dat
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WMPNSCFG"="c:\programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-04-01 5562368]
"nwiz"="nwiz.exe" [2005-04-01 1495040]
"Dit"="Dit.exe" [2004-07-20 90112]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 61952]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]
"Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 208952]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
"AVMWlanClient"="c:\programme\avmwlanstick\FRITZWLANMini.exe" [2006-03-01 327680]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-01-18 254696]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-04-01 86016]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Messenger\\msmsgs.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLACSD.exe"=
"%CommonProgramFiles%\\AOL\\ACS\\AOLDIAL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\Java\\jre6\\bin\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Innonics\\Wiggles\\Wiggles.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [07.02.2011 12:19 136360]
R2 MBAMService;MBAMService;c:\programme\Malwarebytes' Anti-Malware\mbamservice.exe [11.09.2011 19:05 652360]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [23.06.2005 11:06 799744]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [23.06.2005 11:45 1287296]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [11.09.2011 19:05 20464]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18.03.2010 13:16 130384]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [29.02.2012 08:50 158856]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [30.03.2012 12:04 257696]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [23.06.2005 12:10 17408]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\drivers\fwlanusb.sys [07.02.2011 11:36 264704]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\programme\Mozilla Maintenance Service\maintenanceservice.exe [04.05.2012 10:47 129976]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18.03.2010 13:16 753504]
.
Inhalt des "geplante Tasks" Ordners
.
2012-06-19 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-03-30 20:24]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aldi.com/
uInternet Connection Wizard,ShellNext = hxxp://www.google.com/support/chrome/bin/request.py?hl=en-US&contact_type=uninstall&crversion=9.0.597.98&os=5.1.2600
FF - ProfilePath - c:\dokumente und einstellungen\Witwe\Anwendungsdaten\Mozilla\Firefox\Profiles\s4usn4mk.default\
FF - prefs.js: browser.startup.homepage - hxxp://d-addicts.com/forum/
FF - prefs.js: network.proxy.type - 4
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-06-19 17:17
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1684)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Zeit der Fertigstellung: 2012-06-19  17:21:02
ComboFix-quarantined-files.txt  2012-06-19 15:20
ComboFix2.txt  2012-06-06 13:52
ComboFix3.txt  2012-06-06 07:35
.
Vor Suchlauf: 2.239.414.272 Bytes frei
Nach Suchlauf: 2.131.443.712 Bytes frei
.
- - End Of File - - 1DFE28B94BF0285FB4DC19FAB8E41A09
Malwarebytes hat ganz schön viel gefunden, aber die Logdatei gibt das gar nicht wieder? Ist aber die einzige Datei von heute, also hoffentlich richtig:
Code:
2012/06/19 11:14:25 +0200        GLOMBATSCH                MESSAGE        Executing scheduled update:  Daily
2012/06/19 11:14:26 +0200        GLOMBATSCH                ERROR        Scheduled update failed:  No address found failed with error code 11004
2012/06/19 17:43:19 +0200        GLOMBATSCH        Witwe        MESSAGE        Starting protection
2012/06/19 17:43:34 +0200        GLOMBATSCH        Witwe        MESSAGE        Protection started successfully
2012/06/19 17:43:37 +0200        GLOMBATSCH        Witwe        MESSAGE        Starting IP protection
2012/06/19 17:43:43 +0200        GLOMBATSCH        Witwe        MESSAGE        IP Protection started successfully
2012/06/19 17:47:37 +0200        GLOMBATSCH        Witwe        MESSAGE        Starting database refresh
2012/06/19 17:47:38 +0200        GLOMBATSCH        Witwe        MESSAGE        Stopping IP protection
2012/06/19 17:47:47 +0200        GLOMBATSCH        Witwe        MESSAGE        IP Protection stopped
2012/06/19 17:49:40 +0200        GLOMBATSCH        Witwe        MESSAGE        Database refreshed successfully
2012/06/19 17:49:40 +0200        GLOMBATSCH        Witwe        MESSAGE        Starting IP protection
2012/06/19 17:49:52 +0200        GLOMBATSCH        Witwe        MESSAGE        IP Protection started successfully
2012/06/19 18:47:08 +0200        GLOMBATSCH                MESSAGE        Starting protection
2012/06/19 18:47:30 +0200        GLOMBATSCH        Witwe        MESSAGE        Protection started successfully
2012/06/19 18:47:33 +0200        GLOMBATSCH        Witwe        MESSAGE        Starting IP protection
2012/06/19 18:47:41 +0200        GLOMBATSCH        Witwe        MESSAGE        IP Protection started successfully
2012/06/19 20:07:22 +0200        GLOMBATSCH        Witwe        MESSAGE        Starting protection
2012/06/19 20:07:35 +0200        GLOMBATSCH        Witwe        MESSAGE        Protection started successfully
2012/06/19 20:07:38 +0200        GLOMBATSCH        Witwe        MESSAGE        Starting IP protection
2012/06/19 20:07:45 +0200        GLOMBATSCH        Witwe        MESSAGE        IP Protection started successfully

Psychotic 19.06.2012 22:12
Das ist das Protection log, wir brauchen das vom Scan. Findest du im Programm unter "logdateien"!

Psychotic 22.06.2012 09:16
Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Biber 23.06.2012 07:48
Ich finde das andere Ding nicht. Hab extra 'ne Freundin gefragt, dass die mal reinschaut, manchmal ist man ja blind für sowas, aber die sieht auch nichts. Bin mir aber sicher, dass das Programm was getan hat, immerhin hat es ja Viren gefunden und entfernt?

Psychotic 26.06.2012 08:27
Wenn es etwas gefunden und entfernt hat, gibt es logdateien. Zippe mir bitte alle logdateien von MBAM und hänge mir das Archiv hier an deine Antwort an! Sprich: alles unter dem Reiter "Logdateien" in Malwarebyte´s Antimalware!

Biber 27.06.2012 23:34
Bevor ich wieder nix sag: bin leider mal wieder nicht vor Ort, werde das aber noch diese Tage in Angriff nehmen mit dem Zippen.

Psychotic 03.07.2012 07:20
Fehlende Rückmeldung
Dieses Thema wurde aus den Abos gelöscht. Somit bekomm ich keine Benachrichtigung über neue Antworten.
PM an mich falls Du denoch weiter machen willst.

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner schon sauber ist.

Jeder andere bitte hier klicken und einen eigenen Thread erstellen


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:18 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130