Trojaner-Board - Telekom - Sicherheitswarnung Internetzugang Massen-E-Mails

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Telekom - Sicherheitswarnung Internetzugang Massen-E-Mails (https://www.trojaner-board.de/130764-telekom-sicherheitswarnung-internetzugang-massen-e-mails.html)

Telekom - Sicherheitswarnung Internetzugang Massen-E-Mails

Hallo zusammen,

Mein Vater (Anschlussinhaber) hat heute folgende Mail bekommen (Auszug)

Zitat:

Sehr geehrte Kundin,
sehr geehrter Kunde,

wir schreiben Ihnen heute aus einem unerfreulichen Grund, denn wir
haben Hinweise erhalten, dass von Ihrem Anschluss aus Spam-Mails
versendet wurden. Das bedeutet konkret: Unbekannte Personen nutzen
möglicherweise Ihren Internet-Zugang missbräuchlich. Eventuell sind
diesen auch bereits Passwörter, Kreditkarten-, Bank- und sonstige Daten
bekannt!

Es besteht kein Zweifel daran, dass Ihr Internet-Zugang die Quelle
dieser Massen-E-Mails ist, denn bei jeder Einwahl ins Internet wird
Ihrem Router eine IP-Adresse zugewiesen. Wir haben verlässlich
ermittelt, dass die genannte IP-Adresse zu dem Zeitpunkt Ihrer
Zugangsnummer zugeordnet war:

IP-Adresse: XX.X.XX.XX
Zeitangabe: 05.02.2013, 21:39:09 (MEZ)
.....

Jetzt stellt sich mir die Frage, wie und wo ich bei diesem Problem ansetzen soll. Das Problem ist: Mit dem (Netgear) Router sind 5 PC's und 2 Smartphones über W-LAN angeschlossen. Da ja in der Mail der Telekom nur die IP-Adresse angegeben ist und keine weitern Details, könnte im Grunde genommen jedes Gerät als infizierter Verursacher in Frage kommen...
Im W-LAN sind drei PC's mit Win 7 und zwei mit Win XP. Der Router ist WPA2 verschlüsselt mit einem sehr schweren und langen Passwort.

Möglich wäre es natürlich, dass mein PC der Verursacher ist, da ich in letzer Zeit häufiger mit Warnmeldungen (Avira Free Anti Virus) konfrontiert war. Malwarebytes habe ich auch schon (gestern erst) durchlaufen lassen und es wurden Objekte gefunden. Hierzu mal die Log-Files:

Zitat:

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.05.09

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
RK :: RK-PC [Administrator]

05.12.2012 23:36:11
mbam-log-2012-12-05 (23-36-11).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|G:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 30100
Laufzeit: 48 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|DC3783F5C9A5758E0000DC36A7C177E4 (Trojan.LameShield) -> Daten: C:\ProgramData\DC3783F5C9A5758E0000DC36A7C177E4\DC3783F5C9A5758E0000DC36A7C177E4.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 5
C:\ProgramData\DC3783F5C9A5758E0000DC36A7C177E4\DC3783F5C9A5758E0000DC36A7C177E4.exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-1639801597-1486292251-2158558055-1000\$c235e1cd86a64680f3835956508b189e\n (Trojan.0Access) -> Löschen bei Neustart.
C:\$Recycle.Bin\S-1-5-21-1639801597-1486292251-2158558055-1000\$c235e1cd86a64680f3835956508b189e\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-1639801597-1486292251-2158558055-1000\$c235e1cd86a64680f3835956508b189e\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-1639801597-1486292251-2158558055-1000\$c235e1cd86a64680f3835956508b189e\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Zitat:

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.05.09

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
RK :: RK-PC [Administrator]

05.12.2012 23:37:48
mbam-log-2012-12-05 (23-37-48).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 430692
Laufzeit: 43 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\Users\RK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 9
C:\$Recycle.Bin\S-1-5-21-1639801597-1486292251-2158558055-1000\$c235e1cd86a64680f3835956508b189e\n (Trojan.0Access) -> Löschen bei Neustart.
C:\Users\888\AppData\Local\Temp\XE1wVgWK.exe.part (Adware.Solimba) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\a43vtzgbdgv.exe (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49\2528f9b1-1cc6403d (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\Documents\usb stick\stalker cop trainer\S.T.A.L.K.E.R. COP Trainer +10_.exe (HackTool.GamesCheat.Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\888\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\888\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\Desktop\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Progressive Protection\System Progressive Protection.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

und

Zitat:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.06.07

Windows 7 Service Pack 1 x64 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 8.0.7601.17514
RK :: RK-PC [Administrator]

06.02.2013 17:39:36
mbam-log-2013-02-06 (17-39-36).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 424065
Laufzeit: 39 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SonyAgent (Trojan.Lameshield.ET) -> Daten: C:\Windows\Temp\temp78.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 6
C:\Downloads\win 7 installation\produkey-x64_1.54\ProduKey.exe (PUP.PSWTool.ProductKey) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Downloads\win 7 installation\produkey_1.54 32bit\ProduKey.exe (PUP.PSWTool.ProductKey) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\a43vtzgbdgv.exe (Malware.Packer.SGX1) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\awt43abr.exe (Trojan.Lameshield.124) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\COLSF0X2\WORLD_21_target_5830[1].exe (PUP.Adware.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\RK\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\5e027e7c-2f02c83a (Malware.Packer.SGX1) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Dummerweise bin ich jetzt heute erst auf dieses Board gestoßen. Ich bitte daher um Hilfe, wie ich jetzt rausfinden kann, ob mein PC der Verursacher ist oder ein anderer und wie ich das Problem dann beheben kann :-)

hi
nutzt du das Gerät für Onlinebanking, zum einkaufen, für sonstige Zahlungsabwicklungen, oder ähcnlich wichtigem, wie beruflichem?
anmerkung, der pc ist auf jeden fall schon mal infiziert

Ja, für alles o.g. :eek:

Ok
onlinebanking sperren lassen aufgrund von Zero access rootkit.
falls die Bank zu hatt, notfallnummer:
116 116
da man dieses Rootkit nicht garantiert sicher entfernen kann, das aber nötig ist aus, denke ich, nachvollziebaren gründen, sollte das Gerät neu aufgesetzt werden.
1. Datenrettung:

deaktiviere Autorun: http://www.trojaner-board.de/83238-a...sschalten.html
dann sichere Daten auf nen externen datenträger: http://www.trojaner-board.de/82533-d...ted-magic.html
Bilder, Dokumente, Musik Videos (persönliches) http://www.trojaner-board.de/71715-k...iendungen.html

2. Formatieren, Windows neu instalieren:

nutzt du eine Windows CD: http://www.trojaner-board.de/51262-a...sicherung.html
recovery cd oder recovery partition.
falls dies ein fertig pc ist, nenne hersteller + typ.
Keine Windows 7 DVD? http://www.trojaner-board.de/100776-...-download.html

3. PC absichern: http://www.trojaner-board.de/96344-a...-rechners.html
ich werde außerdem noch weitere punkte dazu posten.
4. alle Passwörter ändern!
5. nach PC Absicherung, die gesicherten Daten prüfen und falls sauber: zurückspielen.
6. werde ich dann noch was zum absichern von Onlinebanking mit Chip Card Reader + Star Money sagen.
Wenn du einverstanden bist, machen wir erst mal dieses Gerät fertig und kümmern uns dann um die Anderen.

ok, Onlinebanking ist gesperrt.

Autorun deaktiviert, Daten soweit alle gesichert.

Ich werde jetzt dann das System neu aufsetzen.

Nur mal interessehalber: Woran siehst du, dass es dieses "zero access rootkit" ist?

hi
1. steht im mbam log schon 0access :d
2. ist dieser fund auch noch im
$Recycle.Bin
da wo sich einige Variannten hinkopieren.
ich gebe dir schon mal Absicherungsmaßnamen für den PC:
als antimalware programm würde ich emsisoft empfehlen.
diese haben für mich den besten schutz kostet aber etwas.
Computeractive Software Store - Emsisoft Anti-Malware 7 [1-PC] - 63% off RRP
testversion:
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
insbesondere wenn du onlinebanking, einkäufe, sonstige zahlungsabwicklungen oder ähnlich wichtiges, wie zb berufliches machst, also sensible daten zu schützen sind, solltest du in sicherheitssoftware investieren.
vor dem aktivieren der lizenz die 30 tage testzeitraum ausnutzen.

kostenlos, aber eben nicht ganz so gut währe avast zu empfehlen.
http://www.trojaner-board.de/110895-...antivirus.html

sag mir welches du nutzt, dann gebe ich konfigurationshinweise.
bitte dein bisheriges av deinstalieren
die folgende anleitung ist umfangreich, dass ist mir klar, sie sollte aber umgesetzt werden, da nur dann dein pc sicher ist. stelle so viele fragen wie nötig, ich arbeite gern alles mit dir durch!

http://www.trojaner-board.de/96344-a...-rechners.html
Starte bitte mit der Passage, Windows Vista und Windows 7
Bitte beginne damit, Windows Updates zu instalieren.
Am besten geht dies, wenn du über Start, Suchen gehst, und dort Windows Updates eingibst.
Prüfe unter "Einstellungen ändern" dass folgendes ausgewählt ist:
- Updates automatisch Instalieren,
- Täglich
- Uhrzeit wählen
- Bitte den gesammten rest anhaken, außer:
- detailierte benachichtungen anzeigen, wenn neue Microsoft software verfügbar ist.
Klicke jetzt die Schaltfläche "OK"
Klicke jetzt "nach Updates suchen".
Bitte instaliere zunächst wichtige Updates.
Es wird nötig sein, den PC zwischendurch neu zu starten. falls dies der Fall ist, musst du erneut über Start, Suchen, Windows Update aufrufen, auf Updates suchen klicken und die nächsten instalieren.
Mache das selbe bitte mit den optionalen Updates.
Bitte übernimm den rest so, wie es im Abschnitt windows 7 / Vista zu lesen ist.
aus dem Abschnitt xp, bitte den punkt "datenausführungsverhinderung, dep" übernehmen.
als browser rate ich dir zu chrome:
Installation von Google Chrome für mehrere Nutzerkonten - Google Chrome-Hilfe
anleitung lesen bitte
falls du nen andern nutzen willst, sags mir dann muss ich teile der nun folgenden anleitung anpassen.

Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
Sandboxie - Download - Filepony

anleitung:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Sandbox Einstellungen |

bitte folgende zusatz konfiguration machen:
sandboxie control öffnen, menü sandbox anklicken, defauldbox wählen.
dort klicke auf sandbox einstellungen.
beschrenkungen, bei programm start und internet zugriff schreibe:
chrome.exe
dann gehe auf anwendungen, webbrowser, chrome.
dort aktiviere alles außer gesammten profil ordner freigeben.
Wie du evtl. schon gesehen hast, kannst du einige Funktionen nicht nutzen.
Dies ist nur in der Vollversion nötig, zu deren Kauf ich dir rate.
Du kannst zb unter "Erzwungene Programmstarts" festlegen, dass alle Browser in der Sandbox starten.
Ansonsten musst du immer auf "Sandboxed webbrowser" klicken bzw Rechtsklick, in Sandboxie starten.
Eine lebenslange Lizenz kostet 30 €, und ist auf allen deinen PC's nutzbar.

Weiter mit:
Maßnahmen für ALLE Windows-Versionen
alles komplett durcharbeiten
anmerkung zu file hippo.
in den settings zusätzlich auswählen:
hide beta updates.
Run updateChecker when Windows starts

Backup Programm:
in meiner Anleitung ist bereits ein Backup Programm verlinkt, als Alternative bietet sich auch das Windows eigene Backup Programm an:
http://www.trojaner-board.de/82962-w...en-backup.html
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
bitte auch lesen, wie mache ich programme für alle sichtbar:
Programme für alle Konten nutzbar machen - PCtipp.ch - Praxis & Hilfe
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

passwort sicherheit:
jeder dienst benötigt ein eigenes, mindestens 12-stelliges passwort
bei der passwort verwaltung und erstellung hilft roboform
Passwort Manager, Formular Ausfueller, Passwort Management | RoboForm Passwort Manager
anleitung:
RoboForm-Bedienungsanleitung: Passwort-Manager, Verwalten von Passwörtern und persönlichen Daten

noch eine Anmerkung
wenn ihr euch für emsisoft entscheiden solltet, könnte man es so machen, das ihr 2 3platz lizenzen nemt, das währen dann rund 38 € im jahr, link könnte ich noch posten.
richtig verstanden habe ichs ja, 5 Geräte?

Ja, sind 5 Geräte im Netzwerk.

Ich würde gerne avast! Antivirus nehmen

und als Browser den Firefox.

Onlinebanking betreibe ich nur über die Homepage der Bank, also ich benutze kein StarMoney oder ähnliches. Und so extrem sensible Geschäftsdaten habe ich auch nicht auf dem PC.

achso, nochwas: Ist dieser 0Access Trojaner / Rootkit so ein Spam Mailer oder kann man das nicht so eindeutig festmachen?

hi
ist dein Geld nicht wichtig, also kann das jemand abbuchen und es würde dich nicht jucken, denke nicht :-)
also ist das für dich doch ein sensibles Geschäft.
ich würde, wie gesagt, an deiner Stelle zumindest für den PC an dem du Onlinebanking machst, emsisoft instalieren.
Schon Chrome angesehen, er ist sicherer und sollte auch schneller sein als der FF.
Onlinebanking über Website mit pin/tan ist unsicher, da müsstest du dich auch noch kümmern denn, bei der nächsten Infektion gehts dann vllt nicht mehr so gut aus, kann dir da noch Tipps geben.
Z-access kann je nach Version auch Spams versenden

Fürs Onlinebanking benutze ich ein Chip-Kartenlesegerät, welches die nötigen Daten über ein optisches Ausleseverfahren erhält. Halte das eigentlich für relativ sicher...

Ich möchte gerne beim Firefox bleiben, wegen einiger sehr praktischer Add-Ons. (also NoScript, AdBlock, Url Link, Stealthy, usw..).

Vermutlich hat sich der Virus/Trojaner entweder über ICQ oder ein Programm aus "zweifelhafter Herkunft" eingenistet... ja ich weiß....:headbang:

wie kann man nur kracks keygens etc auf nem pc nutzen wo man onlinebanking macht, ich werds wohl nie verstehen.
adons hat der chrome auch.
adblock für chrome:
http://filepony.de/download-adblock_chrome/
damit sollte das leben werbefreier von statten gehen.
ghostery um tracking zu verhindern:
http://filepony.de/download-ghostery_chrome/
HTTPS Everywhere
https://chrome.google.com/webstore/d...jekcdonpmejbdp
wählt, wenn möglich, eine sichere Verbindung
sicher surfen mit chrome:
Sicher surfen mit Google Chrome | Verbraucher sicher online

asche auf mein haupt...

wo finde ich denn bei win7 den punkt "datenausführungsverhinderung, dep" ? Der link geht nicht mehr.

Hm, also wenns nicht unbedingt sein muss, möchte ich bei Firefox bleiben ;-)

hi ich würd wie gesagt chrome nutzen, ansehen, meckern kann man hinterher ja immernoch.
hast du windows 7 64 bit? dann kannst du dep überspringen.

Ok, ich seh mir chrome mal an :-)

Ja, habe Win 7 Pro 64bit

Außerdem hab ich jetzt mal avast installiert, kannst du mir da ein paar einstellungen empfehlen? Und ist Avira eigentlich so viel schlechter?

hi
Avst in der Standartkonfig is ok.
Um Avira voll nutzen zu können, muss man die Ask toolbar instalieren, über die kann man viel negatives lesen und deshalb empfehle ich etwas anderes.

Ah, ok gut zu wissen. Dann werde ich Avira bei den anderen Rechnern auch durch avast ersetzen.

Der Punkt "SEHOP aktivieren" gibt mir noch ein paar Rätsel auf. Funktioniert nur mit Win 7 SP1 richtig? und was bewirkt es denn genau (für Halb-Laien ausgedrückt ;-))

hi na servicepack 1 für windows 7 sollst du ja eh instalieren.
das fixit funktioniert auch unter windows 7
es soll die ausführung bestimmter exploits verhindern.

Und nochwas zum Rückspielen der alten Daten: Die sollte ich ja auf jeden Fall auch scannen. Aber womit am besten? Das sind hauptsächlich Bilder, mp3's, Videos, pdf's und sonstige Office Dokumente. Kann in so einer Datei auch ein Virus/Trojaner enthalten sein? Also ich habe in den Ordneroptionen eingestellt, dass die Dateinamenerweiterungen (*.exe, *.jpg usw) und alle versteckten und Systemdateien angezeigt werden.

hi
prinzipiell ja, scannen mit avast, erst nach abarbeitung der Anleitung

ok, SP1 installiert eh gerade. Rest wird dann später gemacht

schon mal checkliste:
ich möchte erst mal anhand einer checkliste prüfen ob du alles hast.
- instalieren von optionalen und wichtigen updates.
- konfigurieren von windows updates.
- dep für alle prozesse aktivieren.
- sehop aktivieren.
- chrome instalieren.
- sandboxie instalieren.
- autorun deaktivieren.
- panda vaccine instalieren.
- secunia instalieren.
- file hippo instalieren.
beachte:
secunia und file hippo bieten englische updates, überall wo du auf die nutzeroberfläche zugreifst, wie zb reader, browser, etc benötigst du deutsche updates, also hier die hersteller seiten in den favoriten deines browsers speichern und wenn ein update gezeigt wird, von dort hohlen, bei java, flash quicktime, ist es egal ob deutsch oder englisch.
- backup software instalieren, backup und rettungsdvd erstellen.
hier ne kurze anleitung:
Anleitung: Systemabbild mit Paragon Drive Backup - NETZWELT

so, bis auf den Punkt

Zitat:

- dep für alle prozesse aktivieren.

(da Win 7 64bit)

ist soweit alles erledigt.

Also sollte ich jetzt meine gesicherten Dateien alle mit avast scannen oder auch noch zusätzlich mit Malwarebytes oder ähnlichem?

Hi Avast reicht.
und dann mbam logs von den anderen PC's
bitte durchnumerieren.

--- keine Funde festgestellt --- :-) Na immerhin etwas

Um die anderen PCs kümmere ich mich dann morgen mal...

Soll ich dafür nen neuen Thread eröffnen oder hier weiter machen?

kannst du hier posten

soo, sorry, dass es so lange gedauert hat, Fasching und so... :-D

hier mal das log-file vom zweiten PC

Zitat:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.14.08

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
XXXXXXXXXXXXXXXX [Administrator]

14.02.2013 19:05:06
MBAM-log-2013-02-14 (20-02-16).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|H:\|I:\|J:\|K:\|L:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 291218
Laufzeit: 45 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 11
HKCR\CLSID\{EFF39A40-C163-4d5d-B073-52FBB55C646A} (Trojan.Agent) -> Keine Aktion durchgeführt.
HKCR\linkrdr.AIEbho.1 (Trojan.Agent) -> Keine Aktion durchgeführt.
HKCR\linkrdr.AIEbho (Trojan.Agent) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EFF39A40-C163-4D5D-B073-52FBB55C646A} (Trojan.Agent) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{EFF39A40-C163-4D5D-B073-52FBB55C646A} (Trojan.Agent) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\20W6RLKX65 (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\XBV6RD5SZF (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\XML (Trojan.FakeAlert) -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\tst (Trojan.Banker) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\WINDOWS\system32\srvblck2.tmp (Malware.Trace) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\AcroIEHelpe.txt (Malware.Trace) -> Keine Aktion durchgeführt.

(Ende)

hi
schaun wir mal weiter:

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die
OTL.exe
.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den Inhalt in die http://larusso.trojaner-board.de/Images/otlfix.jpg
Textbox.

Code:

activex

netsvcs

msconfig

%SYSTEMDRIVE%\*.

%PROGRAMFILES%\*.exe

%LOCALAPPDATA%\*.exe

%systemroot%\*. /mp /s

C:\Windows\system32\*.tsp

/md5start

userinit.exe

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

ws2ifsl.sys

sceclt.dll

ntelogon.dll

winlogon.exe

logevent.dll

user32.DLL

explorer.exe

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

/md5stop

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\System32\config\*.sav

%systemroot%\system32\*.dll /lockedfiles

%USERPROFILE%\*.*

%USERPROFILE%\Local Settings\Temp\*.exe

%USERPROFILE%\Local Settings\Temp\*.dll

%USERPROFILE%\Application Data\*.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs

CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Kopiere
nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Hi, also der 3. PC ist laut Malwarebytes komplett sauber.

Kann ich dir vom zweiten PC die log-files von OTL auch per PN schicken? Hintergrund ist, dass darin zigfach echte Namen erscheinen, die hier nix zu suchen haben ;-)

hi
nein
öffne das log im editor.
gehe auf bearbeiten, ersetzen, dann tippe den namen, ersetzen durch
***
und klicke alle ersetzen

ok,

hier mal das "Extras" log:

OTL Logfile:

Code:

OTL Extras logfile created on: 14.02.2013 22:22:17 - Run 1

OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\yyyy\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.13)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 1,43 Gb Available Physical Memory | 71,29% Memory free

3,85 Gb Paging File | 3,35 Gb Available in Paging File | 87,00% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 50,00 Gb Total Space | 15,52 Gb Free Space | 31,05% Space Free | Partition Type: NTFS

Drive D: | 322,60 Gb Total Space | 318,62 Gb Free Space | 98,76% Space Free | Partition Type: NTFS

Drive F: | 7,45 Gb Total Space | 1,53 Gb Free Space | 20,51% Space Free | Partition Type: FAT32

 

Computer Name: xxxxx | User Name: yyyy | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

.html [@ = ChromeHTML] -- C:\Programme\Google\Chrome\Application\chrome.exe (Google Inc.)

.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l

 

[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]

.html [@ = FirefoxHTML] -- C:\Programme\Mozilla Firefox\firefox.exe (Mozilla Corporation)

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

exefile [open] -- "%1" %*

http [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)

https [open] -- "C:\Programme\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)

InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [FinePix] -- "C:\Programme\FinePixViewer\FinePixViewer.exe" "%1" (FUJIFILM Corporation)

Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"FirstRunDisabled" = 1

"AntiVirusDisableNotify" = 0

"FirewallDisableNotify" = 0

"UpdatesDisableNotify" = 0

"AntiVirusOverride" = 0

"FirewallOverride" = 0

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

 
 ========== System Restore Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]

"DisableSR" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]

"Start" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]

"Start" = 2

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

 
 ========== Authorized Applications List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)

"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)

"C:\Programme\HP\Digital Imaging\bin\hpqste08.exe" = C:\Programme\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe -- (Hewlett-Packard Co.)

"C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe" = C:\Programme\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe -- (Hewlett-Packard Co.)

"C:\Programme\HP\Digital Imaging\bin\hposfx08.exe" = C:\Programme\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe -- (Hewlett-Packard Co.)

"C:\Programme\HP\Digital Imaging\bin\hposid01.exe" = C:\Programme\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe -- (Hewlett-Packard Co.)

"C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe" = C:\Programme\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe -- ()

"C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe" = C:\Programme\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe -- (Hewlett-Packard)

"C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe -- (Hewlett-Packard Co.)

"C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe" = C:\Programme\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe -- (Hewlett-Packard)

"C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe" = C:\Programme\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe -- (Hewlett-Packard Co.)

"C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe" = C:\Programme\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe -- ()

"C:\Programme\HP\Digital Imaging\bin\hpoews01.exe" = C:\Programme\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe -- (Hewlett-Packard Co.)

"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)

"C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe" = C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe:*:Enabled:Daemonu.exe -- (NVIDIA Corporation)

 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148

"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu

"{0611BD4E-4FE4-4a62-B0C0-18A4CC463428}" = CP_Package_Variety1

"{09984AEC-6B9F-4ca7-B78D-CB44D4771DA3}" = Destinations

"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended

"{0B33B738-AD79-4E32-90C5-E67BFB10BBFF}" = AiO_Scan

"{15EE79F4-4ED1-4267-9B0F-351009325D7D}" = HP Software Update

"{18E928DE-ABBA-4CEB-A9E4-205769B03FE8}" = Garmin BaseCamp

"{1C139D7D-9FEA-468d-A9C8-2A6E3BDE564A}" = CP_Package_Variety3

"{1E61121B-87BA-469B-A294-2516B20AC1D1}" = WNA1000

"{2466E904-7E48-4597-9321-722CF02930EB}" = 5600

"{24ED4D80-8294-11D5-96CD-0040266301AD}" = FinePixViewer Ver.5.4

"{28E82311-8616-11E1-BEB0-B8AC6F97B88E}" = Google Earth

"{2B7E4354-0492-460A-BDB1-1F59EE141025}" = AirPlus G

"{2CADCEAB-D5DA-44D6-B5FC-7DEE87AB3C0C}" = Unload

"{30C19FF2-7FBA-4d09-B9DE-1659977F64F6}" = TrayApp

"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP

"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile

"{3C5EA394-1031-11D2-A2CB-00C04F72F31D}" = Microsoft PhotoDraw 2000 V2

"{414A373B-59DF-4102-94CA-9FE9A74CBDDA}" = Garmin Trip and Waypoint Manager v5

"{4C590030-7469-453E-8589-D15DA9D03F52}" = ANIWZCS2 Service

"{4EF053C6-B60B-4EEF-8794-71516FA9B441}" = CyberView CS - Combo IR 1.2c (Build 20091203)

"{5490882C-6961-11D5-BAE5-00E0188E010B}" = FUJIFILM USB Driver

"{54E3707F-808E-4fd4-95C9-15D1AB077E5D}" = NewCopy

"{56F8AFC3-FA98-4ff1-9673-8A026CBF85BE}" = WebReg

"{5B622B7A-60FB-4630-B11D-F121D20BCCD6}" = MarketResearch

"{5B79CFD1-6845-4158-9D7D-6BE89DF2C135}" = HP PSC & OfficeJet 5.3.B

"{612AD33D-9824-4E87-8396-92374E91C4BB}_is1" = Inbox Toolbar

"{65F9E1F3-A2C1-4AA9-9F33-A3AEB0255F0E}" = Garmin USB Drivers

"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder

"{6B566EFE-DC1D-471F-93DD-84832663F140}" = OVT Scanner X86

"{6BB6627C-694F-4FDC-A3E5-C7F4BED4C724}" = DocProc

"{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder

"{7850A6D2-CBEA-4728-9877-F1BEDEA9F619}" = AiOSoftware

"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update

"{7B5CE976-C7A9-4E38-A7F3-6C8EF025DD8E}" = ANIO Service

"{7C9B95B7-B598-4398-B30F-7F6827192E6C}" = ProductContext

"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP

"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570

"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar

"{8ED02445-D491-414C-A56D-2ED6BBB7239A}" = Garmin Communicator Plugin

"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12

"{90120000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2007

"{90120000-0011-0000-0000-0000000FF1CE}_PROPLUS_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007

"{90120000-0015-0407-0000-0000000FF1CE}_PROPLUS_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007

"{90120000-0016-0407-0000-0000000FF1CE}_PROPLUS_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007

"{90120000-0018-0407-0000-0000000FF1CE}_PROPLUS_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007

"{90120000-0019-0407-0000-0000000FF1CE}_PROPLUS_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007

"{90120000-001A-0407-0000-0000000FF1CE}_PROPLUS_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007

"{90120000-001B-0407-0000-0000000FF1CE}_PROPLUS_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007

"{90120000-001F-0407-0000-0000000FF1CE}_PROPLUS_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)

"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007

"{90120000-001F-0409-0000-0000000FF1CE}_PROPLUS_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)

"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007

"{90120000-001F-040C-0000-0000000FF1CE}_PROPLUS_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)

"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007

"{90120000-001F-0410-0000-0000000FF1CE}_PROPLUS_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)

"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007

"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007

"{90120000-0044-0407-0000-0000000FF1CE}_PROPLUS_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007

"{90120000-006E-0407-0000-0000000FF1CE}_PROPLUS_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In

"{923A7F5A-1E8C-4FBE-8DF6-85940A60A79F}" = Readme

"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17

"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161

"{A195B13E-A5E3-4BAF-A995-7F70F445CD06}" = ScannerCopy

"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder

"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Deutsch

"{AFBAB9A0-DDE8-49AE-8C17-A01B61BEE64B}" = Garmin MapSource

"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 280.26

"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 280.26

"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 135.94

"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.4.28

"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application

"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components

"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy

"{B44529FF-501E-47CD-A06D-223C161BE058}" = FinePixViewer Resource

"{B824B5C9-849F-4b9e-9EA7-6FD8CD8116DA}" = CP_Package_Variety2

"{B996AE66-10DB-4ac5-B151-E8B4BFBC42FC}" = BufferChm

"{BFD5AC8A-5884-4da8-9873-3DF8E3DCCE18}" = 5600Trb

"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2

"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU

"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU

"{C506A18C-1469-4678-B094-F4EC9DAE6DB7}" = Scan

"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack

"{CC7984C5-020D-4944-85A0-58D09D4A8BFB}" = 5600_Help

"{CE24344F-DFD8-40C8-8FD8-C9740B5F25AC}" = Fax

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{E3F90083-80D4-4b5a-87C7-E97E12F5516D}" = HPProductAssistant

"{EA103B64-C0E4-4C0E-A506-751590E1653D}" = SolutionCenter

"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support

"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219

"{F4C2E5F5-2970-45f4-ABD3-C180C4D961C4}" = Status

"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack

"{FB08F381-6533-4108-B7DD-039E11FBC27E}" = Realtek AC'97 Audio

"{FE64AE29-0883-4C70-8388-DC026019C900}" = HP Image Zone Express

"49CF605F02C7954F4E139D18828DE298CD59217C" = Windows Driver Package - Garmin (grmnusb) GARMIN Devices  (06/03/2009 2.3.0.0)

"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX

"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin

"Avira AntiVir Desktop" = Avira Free Antivirus

"EasyGPS_is1" = EasyGPS 4.29

"Foxit Reader_is1" = Foxit Reader 5.0

"Google Chrome" = Google Chrome

"HP Imaging Device Functions" = HP Imaging Device Functions 5.3

"HP Solution Center & Imaging Support Tools" = HP Solution Center & Imaging Support Tools 5.3

"HPExtendedCapabilities" = HP Extended Capabilities 5.3

"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs

"ie7" = Windows Internet Explorer 7

"InstallShield_{1E61121B-87BA-469B-A294-2516B20AC1D1}" = Wireless-N 150 USB Adapter WNA1000

"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100

"MATHEARBEIT G" = MATHEARBEIT G 4.5 

"MATHEARBEIT S" = MATHEARBEIT S 6.2 

"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile

"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack

"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended

"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack

"Mozilla Firefox 18.0.2 (x86 de)" = Mozilla Firefox 18.0.2 (x86 de)

"Mozilla Thunderbird 17.0.2 (x86 de)" = Mozilla Thunderbird 17.0.2 (x86 de)

"MozillaMaintenanceService" = Mozilla Maintenance Service

"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP

"NAVIGON Fresh" = NAVIGON Fresh 3.4.1

"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs

"NVIDIA Drivers" = NVIDIA Drivers

"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager

"OVT Scanner" = Uninstall OVT Scanner

"PROPLUS" = Microsoft Office Professional Plus 2007

"SCHREIBEN 1.0" = SCHREIBEN 1.0

"Vereinfachte Ausgangsschrift_is1" = Vereinfachte Ausgangsschrift (2.0)

"Windows Media Format Runtime" = Windows Media Format 11 runtime

"Windows Media Player" = Windows Media Player 11

"Windows XP Service Pack" = Windows XP Service Pack 3

"WMFDist11" = Windows Media Format 11 runtime

"wmp11" = Windows Media Player 11

"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

 
 ========== Last 20 Event Log Errors ==========

 

[ Application Events ]

Error - 29.10.2012 02:23:09 | Computer Name = xxxxx | Source = LoadPerf | ID = 3001

Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung

ist

 falsch formatiert. Die ungültige Zeichenfolge ist 7022 und der ungültige  Indexwert

 ist das erste DWORD im Datenbereich, während die letzten gültigen  Indexwerte die

 zweiten und dritten DWORD im Datenbereich sind.

 

Error - 29.10.2012 02:23:09 | Computer Name = xxxxx | Source = LoadPerf | ID = 3001

Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung

ist

 falsch formatiert. Die ungültige Zeichenfolge ist 7022 und der ungültige  Indexwert

 ist das erste DWORD im Datenbereich, während die letzten gültigen  Indexwerte die

 zweiten und dritten DWORD im Datenbereich sind.

 

Error - 29.10.2012 02:23:09 | Computer Name = xxxxx | Source = LoadPerf | ID = 3011

Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren

 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.

 

Error - 29.10.2012 02:23:12 | Computer Name = xxxxx | Source = LoadPerf | ID = 3001

Description = Der Wert für die Namenszeichenfolge im Leistungsindikator in der Registrierung

ist

 falsch formatiert. Die ungültige Zeichenfolge ist 7022 und der ungültige  Indexwert

 ist das erste DWORD im Datenbereich, während die letzten gültigen  Indexwerte die

 zweiten und dritten DWORD im Datenbereich sind.

 

Error - 11.11.2012 07:33:27 | Computer Name = xxxxx | Source = Application Error | ID = 1000

Description = Fehlgeschlagene Anwendung hp_ize.exe, Version 1.5.1.29, fehlgeschlagenes

 Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.

 

Error - 17.11.2012 12:02:46 | Computer Name = xxxxx | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung AcroRd32.exe, Version 10.1.4.38, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 04.12.2012 12:52:46 | Computer Name = xxxxx | Source = Application Hang | ID = 1002

Description = Stillstehende Anwendung rundll32.exe, Version 5.1.2600.5512, Stillstandmodul

 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

 

Error - 02.01.2013 19:28:58 | Computer Name = xxxxx | Source = .NET Runtime Optimization Service | ID = 1103

Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)

 - Tried to start a service that wasn't the latest version of CLR Optimization service.

 Will shutdown 

 

Error - 02.01.2013 22:33:21 | Computer Name = xxxxx | Source = .NET Runtime Optimization Service | ID = 1103

Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)

 - Tried to start a service that wasn't the latest version of CLR Optimization service.

 Will shutdown 

 

Error - 09.01.2013 22:29:58 | Computer Name = xxxxx | Source = .NET Runtime Optimization Service | ID = 1103

Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)

 - Tried to start a service that wasn't the latest version of CLR Optimization service.

 Will shutdown 

 

[ OSession Events ]

Error - 25.12.2009 05:32:45 | Computer Name = xxxxx | Source = Microsoft Office 12 Sessions | ID = 7001

Description = ID: 0, Application Name: Microsoft Office Word, Application Version:

 12.0.6504.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 16

 seconds with 0 seconds of active time.  This session ended with a crash.

 

Error - 25.12.2009 05:33:26 | Computer Name = xxxxx | Source = Microsoft Office 12 Sessions | ID = 7001

Description = ID: 0, Application Name: Microsoft Office Word, Application Version:

 12.0.6504.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 34

 seconds with 0 seconds of active time.  This session ended with a crash.

 

[ System Events ]

Error - 08.02.2013 14:16:08 | Computer Name = xxxxx | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek USB Flash Disk USB Device nicht laden.

 

Error - 08.02.2013 14:16:08 | Computer Name = xxxxx | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek USB Flash Disk USB Device nicht laden.

 

Error - 14.02.2013 02:42:22 | Computer Name = xxxxx | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek USB Flash Disk USB Device nicht laden.

 

Error - 14.02.2013 02:42:22 | Computer Name = xxxxx | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek USB Flash Disk USB Device nicht laden.

 

Error - 14.02.2013 02:46:35 | Computer Name = xxxxx | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek USB Flash Disk USB Device nicht laden.

 

Error - 14.02.2013 02:46:35 | Computer Name = xxxxx | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek USB Flash Disk USB Device nicht laden.

 

Error - 14.02.2013 02:47:59 | Computer Name = xxxxx | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek USB Flash Disk USB Device nicht laden.

 

Error - 14.02.2013 02:47:59 | Computer Name = xxxxx | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek USB Flash Disk USB Device nicht laden.

 

Error - 14.02.2013 02:50:03 | Computer Name = xxxxx | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek USB Flash Disk USB Device nicht laden.

 

Error - 14.02.2013 02:50:03 | Computer Name = xxxxx | Source = Wechselmediendienst | ID = 262255

Description = Der Wechselmediendienst konnte die Medien in Laufwerk Laufwerk 0 der

 Bibliothek USB Flash Disk USB Device nicht laden.

 

 

< End of report >

--- --- ---

und hier das "OTL" log:

OTL Logfile:

Code:

OTL logfile created on: 14.02.2013 22:22:17 - Run 1

OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\xxxxx\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.13)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 1,43 Gb Available Physical Memory | 71,29% Memory free

3,85 Gb Paging File | 3,35 Gb Available in Paging File | 87,00% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 50,00 Gb Total Space | 15,52 Gb Free Space | 31,05% Space Free | Partition Type: NTFS

Drive D: | 322,60 Gb Total Space | 318,62 Gb Free Space | 98,76% Space Free | Partition Type: NTFS

Drive F: | 7,45 Gb Total Space | 1,53 Gb Free Space | 20,51% Space Free | Partition Type: FAT32

 

Computer Name: **** | User Name: xxxxx | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\xxxxx\Desktop\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation)

PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()

PRC - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)

PRC - C:\WINDOWS\system32\acs.exe (Atheros)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (Alpha Networks Inc.)

PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)

PRC - C:\WINDOWS\system32\HPZipm12.exe (HP)

 

 
 ========== Modules (No Company Name) ==========

 

MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU ()

MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()

MOD - C:\Programme\CDBurnerXP\NMSAccessU.exe ()

 

 
 ========== Services (SafeList) ==========

 

SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found

SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)

SRV - (AntiVirWebService) -- C:\Programme\Avira\AntiVir Desktop\avwebgrd.exe (Avira Operations GmbH & Co. KG)

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)

SRV - (nvUpdatusService) -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation)

SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)

SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()

SRV - (ACS) -- C:\WINDOWS\system32\acs.exe (Atheros)

SRV - (jswpsapi) -- C:\Programme\NETGEAR\WNA1000\jswpsapi.exe (Atheros Communications, Inc.)

SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)

SRV - (ANIWZCSdService) -- C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe (Alpha Networks Inc.)

SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (WDICA) --  File not found

DRV - (SetupNTGLM7X) -- E:\NTGLM7X.sys File not found

DRV - (PDRFRAME) --  File not found

DRV - (PDRELI) --  File not found

DRV - (PDFRAME) --  File not found

DRV - (PDCOMP) --  File not found

DRV - (PCIDump) --  File not found

DRV - (NTACCESS) -- E:\NTACCESS.sys File not found

DRV - (MSICPL) -- E:\install4\MSICPL.sys File not found

DRV - (lbrtfdc) --  File not found

DRV - (i2omgmt) --  File not found

DRV - (GMSIPCI) -- E:\INSTALL\GMSIPCI.SYS File not found

DRV - (Changer) --  File not found

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira GmbH)

DRV - (MHIKEY10) -- C:\WINDOWS\system32\drivers\MHIKEY10.sys (Generic USB smartcard reader)

DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys ()

DRV - (WNA1000) -- C:\WINDOWS\system32\drivers\WNA1000.sys (Atheros Communications, Inc.)

DRV - (JSWSCIMD) -- C:\WINDOWS\system32\drivers\jswscimd.sys (Atheros Communications, Inc.)

DRV - (NwlnkIpx) -- C:\WINDOWS\system32\drivers\nwlnkipx.sys (Microsoft Corporation)

DRV - (WSIMD) -- C:\WINDOWS\system32\drivers\wsimd.sys (Atheros Communications, Inc.)

DRV - (APL531) -- C:\WINDOWS\system32\drivers\ov550i.sys (Omnivision Technologies, Inc.)

DRV - (ALCXWDM) -- C:\WINDOWS\system32\drivers\alcxwdm.sys (Realtek Semiconductor Corp.)

DRV - (NwlnkNb) -- C:\WINDOWS\system32\drivers\nwlnknb.sys (Microsoft Corporation)

DRV - (NwlnkSpx) -- C:\WINDOWS\system32\drivers\nwlnkspx.sys (Microsoft Corporation)

DRV - (ANIO) -- C:\WINDOWS\system32\ANIO.sys (Alpha Networks Inc.)

DRV - (RT73) -- C:\WINDOWS\system32\drivers\Dr71WU.sys (Ralink Technology, Corp.)

DRV - (nvata) -- C:\WINDOWS\system32\drivers\nvata.sys (NVIDIA Corporation)

DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)

DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)

DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)

DRV - (DNINDIS5) -- C:\WINDOWS\system32\DNINDIS5.sys (Printing Communications Assoc., Inc. (PCAUSA))

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://toolbar.inbox.com/help/sa_customize.aspx?tbid=80195

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://toolbar.inbox.com/search/ie.aspx?tbid=80195

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www2.inbox.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=%tb_id&%language

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale=de_DE

IE - HKCU\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)

IE - HKCU\..\URLSearchHook: {D3D233D5-9F6D-436C-B6C7-E63F77503B30} - C:\Programme\Inbox Toolbar\Inbox.dll (Inbox.com, Inc.)

IE - HKCU\..\SearchScopes,DefaultScope = {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

IE - HKCU\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10395&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=^ABT&apn_dtid=^YYYYYY^YY^DE&apn_uid=c4c899fa-a170-4580-aaac-b9f2f9230c20&apn_sauid=DA9BDECC-F07A-4786-BB51-BBE358D4D480

IE - HKCU\..\SearchScopes\{C04B7D22-5AEC-4561-8F49-27F6269208F6}: "URL" = hxxp://www2.inbox.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=80195&lng=de

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.defaultengine: "Ask.com"

FF - prefs.js..browser.search.defaultenginename: "Ask.com"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..browser.search.selectedEngine: "Ask.com"

FF - prefs.js..browser.startup.homepage: "hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale=de_DE"

FF - prefs.js..extensions.enabledAddons: info%40youtube-mp3.org:1.0.4

FF - prefs.js..extensions.enabledAddons: %7B195A3098-0BD5-4e90-AE22-BA1C540AFD1E%7D:4.0.4

FF - prefs.js..extensions.enabledAddons: %7B184AA5E6-741D-464a-820E-94B3ABC2F3B4%7D:1.0

FF - prefs.js..extensions.enabledAddons: toolbar%40ask.com:3.15.18.100015

FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:18.0.2

FF - user.js - File not found

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()

FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf: C:\Programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll (Foxit Corporation)

FF - HKLM\Software\MozillaPlugins\@garmin.com/GpsControl: C:\Programme\Garmin GPS Plugin\npGarmin.dll (GARMIN Corp.)

FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\WINDOWS\system32\5056 [2011.12.12 16:16:56 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.02.06 16:21:42 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.02.08 15:49:11 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.2\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2013.01.09 18:16:59 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.2\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins

FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\WINDOWS\system32\5056 [2011.12.12 16:16:56 | 000,000,000 | ---D | M]

 

[2011.09.18 15:46:10 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Mozilla\Extensions

[2010.08.30 08:08:36 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}

[2012.12.10 16:44:25 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\extensions

[2012.12.01 07:42:16 | 000,000,000 | ---D | M] (Garmin Communicator) -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}

[2012.12.10 16:44:25 | 000,000,000 | ---D | M] ("Inbox Toolbar") -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\extensions\inboxcomtoolbar@inbox.com

[2013.02.14 18:54:53 | 000,000,000 | ---D | M] ("Avira SearchFree Toolbar plus Web Protection") -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\extensions\toolbar@ask.com

[2012.11.28 19:55:39 | 000,006,796 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\extensions\info@youtube-mp3.org.xpi

[2013.02.14 18:54:54 | 000,002,413 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\searchplugins\askcom.xml

[2013.02.06 16:21:32 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

[2011.12.12 16:16:56 | 000,000,000 | ---D | M] (Java String Helper) -- C:\WINDOWS\SYSTEM32\5056

[2013.02.06 16:21:42 | 000,262,552 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll

[2012.07.05 14:27:36 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml

[2012.09.15 06:31:48 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml

[2012.07.05 14:27:36 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml

[2012.07.05 14:27:36 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml

[2012.07.05 14:27:36 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml

[2012.07.05 14:27:36 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

 
 ========== Chrome  ==========

 

CHR - homepage: hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale=de_DE

CHR - default_search_provider: Google (Enabled)

CHR - default_search_provider: search_url = {google:baseURL}search?{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}sourceid=chrome&ie={inputEncoding}&q={searchTerms}

CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}{google:instantFieldTrialGroupParameter}client=chrome&hl={language}&q={searchTerms}

CHR - homepage: hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale=de_DE

CHR - plugin: Remoting Viewer (Enabled) = internal-remoting-viewer

CHR - plugin: Native Client (Enabled) = C:\Programme\Google\Chrome\Application\23.0.1271.97\ppGoogleNaClPluginChrome.dll

CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Programme\Google\Chrome\Application\23.0.1271.97\pdf.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\Programme\Google\Chrome\Application\23.0.1271.97\gcswf32.dll

CHR - plugin: Shockwave Flash (Enabled) = C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll

CHR - plugin: Adobe Acrobat (Enabled) = C:\Programme\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll

CHR - plugin: 2007 Microsoft Office system (Enabled) = C:\Programme\Mozilla Firefox\plugins\NPOFF12.DLL

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll

CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll

CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll

CHR - plugin: Foxit Reader Plugin for Mozilla (Enabled) = C:\Programme\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll

CHR - plugin: Garmin Communicator Plug-In (Enabled) = C:\Programme\Garmin GPS Plugin\npGarmin.dll

CHR - plugin: Google Earth Plugin (Enabled) = C:\Programme\Google\Google Earth\plugin\npgeplugin.dll

CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll

CHR - plugin: Default Plug-in (Enabled) = default_plugin

CHR - Extension: Avira Toolbar = C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\aaaangaohdajkgeopjhpbnlpkehbhmbj\7.15.4.0_0\

 

O1 HOSTS File: ([2009.11.01 15:20:58 | 000,348,939 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O1 - Hosts: 127.0.0.1        www.007guard.com

O1 - Hosts: 127.0.0.1        007guard.com

O1 - Hosts: 127.0.0.1        008i.com

O1 - Hosts: 127.0.0.1        www.008k.com

O1 - Hosts: 127.0.0.1        008k.com

O1 - Hosts: 127.0.0.1        www.00hq.com

O1 - Hosts: 127.0.0.1        00hq.com

O1 - Hosts: 127.0.0.1        010402.com

O1 - Hosts: 127.0.0.1        www.032439.com

O1 - Hosts: 127.0.0.1        032439.com

O1 - Hosts: 127.0.0.1        www.0scan.com

O1 - Hosts: 127.0.0.1        0scan.com

O1 - Hosts: 127.0.0.1        www.1000gratisproben.com

O1 - Hosts: 127.0.0.1        1000gratisproben.com

O1 - Hosts: 127.0.0.1        www.1001namen.com

O1 - Hosts: 127.0.0.1        1001namen.com

O1 - Hosts: 127.0.0.1        100888290cs.com

O1 - Hosts: 127.0.0.1        www.100888290cs.com

O1 - Hosts: 127.0.0.1        100sexlinks.com

O1 - Hosts: 127.0.0.1        www.100sexlinks.com

O1 - Hosts: 127.0.0.1        10sek.com

O1 - Hosts: 127.0.0.1        www.10sek.com

O1 - Hosts: 127.0.0.1        www.1-2005-search.com

O1 - Hosts: 127.0.0.1        1-2005-search.com

O1 - Hosts: 11962 more lines...

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)

O2 - BHO: (Inbox Toolbar) - {D3D233D5-9F6D-436C-B6C7-E63F77503B30} - C:\Programme\Inbox Toolbar\Inbox.dll (Inbox.com, Inc.)

O2 - BHO: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)

O2 - BHO: (Adobe PDF Reader Link Helper) - {EFF39A40-C163-4d5d-B073-52FBB55C646A} - C:\WINDOWS\system32\AcroIEHelpe.dll File not found

O3 - HKLM\..\Toolbar: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKLM\..\Toolbar: (&Inbox Toolbar) - {D7E97865-918F-41E4-9CD0-25AB1C574CE8} - C:\Programme\Inbox Toolbar\Inbox.dll (Inbox.com, Inc.)

O3 - HKCU\..\Toolbar\WebBrowser: (Avira SearchFree Toolbar plus Web Protection) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKCU\..\Toolbar\WebBrowser: (&Inbox Toolbar) - {D7E97865-918F-41E4-9CD0-25AB1C574CE8} - C:\Programme\Inbox Toolbar\Inbox.dll (Inbox.com, Inc.)

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [ApnUpdater] C:\Programme\Ask.com\Updater\Updater.exe (Ask)

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

O4 - HKLM..\Run: [jswtrayutil] C:\Programme\NETGEAR\WNA1000\jswtrayutil.exe File not found

O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found

O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [SW20] C:\WINDOWS\system32\sw20.exe ()

O4 - HKLM..\Run: [SW24] C:\WINDOWS\system32\sw24.exe ()

O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)

O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)

O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil32_11_5_502_146_Plugin.exe (Adobe Systems Incorporated)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 157

O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - C:\Programme\Microsoft Office\Office\1031\PHDINTL.DLL (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000029 - C:\Programme\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1A13747F-D8DB-43E5-A4F1-A74C9780B64E}: NameServer = 192.168.2.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1B99CBD8-604C-45B0-B679-9A38168B09DD}: NameServer = 192.168.2.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{3E8C7127-0201-4B68-830D-194FC0AD3DF9}: NameServer = 192.168.2.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8BA6CAE0-C8B3-42EB-95A3-4E2EEB5F1B65}: NameServer = 192.168.2.1

O18 - Protocol\Handler\inbox {37540F19-DD4C-478B-B2DF-C19281BCAF27} - C:\Programme\Inbox Toolbar\Inbox.dll (Inbox.com, Inc.)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O30 - LSA: Authentication Packages - (nwprovau) - C:\WINDOWS\System32\nwprovau.dll (Microsoft Corporation)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.10.30 19:25:42 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{374924ac-e8ae-11de-a212-0019db49deb0}\Shell - "" = AutoRun

O33 - MountPoints2\{374924ac-e8ae-11de-a212-0019db49deb0}\Shell\AutoRun - "" = Auto&Play

O33 - MountPoints2\{374924ac-e8ae-11de-a212-0019db49deb0}\Shell\AutoRun\command - "" = F:\LaunchU3.exe -a

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

 

ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)

ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow

ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4

ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation

ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java

ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack

ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe

ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework

ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring

ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow

ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx

ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help

ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes

ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6

ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)

ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW

ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools

ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements

ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player

ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access

ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders

ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings

ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - DOTNETFRAMEWORKS

ActiveX: {8A69D345-D564-463c-AFF1-A69D9E530F96} - "C:\Programme\Google\Chrome\Application\24.0.1312.57\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level --multi-install --chrome

ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding

ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework

ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework

ActiveX: {C3C986D6-06B1-43BF-90DD-BE30756C00DE} - RevokedRootsUpdate

ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts

ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner

ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1

ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player

ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help

ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface

ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe

ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP

ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

 

NetSvcs: 6to4 -  File not found

NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found

NetSvcs: Ias -  File not found

NetSvcs: Iprip -  File not found

NetSvcs: Irmon -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: WmdmPmSp -  File not found

NetSvcs: SSHNAS -  File not found

 

MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= -  File not found

MsConfig - StartUpReg: ANIWZCS2Service - hkey= - key= - C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe (Alpha Networks Inc.)

MsConfig - StartUpReg: D-Link AirPlus G - hkey= - key= - C:\Programme\D-Link\AirPlus G\AirGCFG.exe (D-Link)

MsConfig - StartUpReg: HP Software Update - hkey= - key= - C:\Programme\HP\HP Software Update\hpwuSchd2.exe (Hewlett-Packard Co.)

MsConfig - StartUpReg: REGSHAVE - hkey= - key= - C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)

MsConfig - StartUpReg: XBV6RD5SZF - hkey= - key= -  File not found

MsConfig - StartUpReg: {2203662F-28ED-01EE-7668-3A2E7DAEA7DC} - hkey= - key= -  File not found

MsConfig - StartUpReg: {92197FD0-0091-8C39-C5E0-0A3DB19E2864} - hkey= - key= -  File not found

MsConfig - State: "system.ini" - 0

MsConfig - State: "win.ini" - 0

MsConfig - State: "bootini" - 0

MsConfig - State: "services" - 0

MsConfig - State: "startup" - 2

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2013.02.14 22:20:09 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxxxx\Desktop\OTL.exe

[2013.02.14 19:03:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Malwarebytes

[2013.02.14 19:03:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware

[2013.02.14 19:03:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2013.02.14 19:03:53 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2013.02.14 19:03:53 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2013.02.13 18:08:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxx\Eigene Dateien\Abertamy 13 C + K

[2013.02.08 15:41:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxx\Startmenü\Programme\NETGEAR WNA1000 Adapter

[2013.02.06 16:21:31 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox

[2013.01.30 18:09:11 | 000,000,000 | ---D | C] -- C:\Programme\MATHEARBEIT S6

[2013.01.28 18:06:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\NAVIGON

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2013.02.14 22:35:05 | 000,000,232 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job

[2013.02.14 22:20:09 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxxxx\Desktop\OTL.exe

[2013.02.14 21:54:00 | 000,001,094 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2013.02.14 21:30:55 | 009,331,712 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxx\Eigene Dateien\Abertamy 1.pub

[2013.02.14 19:03:54 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk

[2013.02.14 11:54:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2013.02.14 08:51:57 | 000,000,053 | ---- | M] () -- C:\biosinfo

[2013.02.14 08:51:55 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2013.02.14 08:51:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2013.02.14 06:30:55 | 000,344,216 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2013.02.13 23:34:20 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK

[2013.02.13 23:32:07 | 000,516,078 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2013.02.13 23:32:07 | 000,492,922 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2013.02.13 23:32:07 | 000,100,240 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2013.02.13 23:32:07 | 000,083,378 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2013.02.05 18:07:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

[2013.02.02 04:53:16 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk

[2013.02.01 23:12:26 | 000,000,036 | ---- | M] () -- C:\WINDOWS\phd2dll.INI

[2013.01.30 18:14:06 | 000,000,504 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\MA6.INI

[2013.01.30 18:13:41 | 000,000,147 | ---- | M] () -- C:\WINDOWS\masoft.dat

[2013.01.30 18:13:25 | 000,000,510 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\mag33.ini

[2013.01.30 18:12:33 | 000,001,527 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mathearbeit S 6.lnk

[2013.01.28 20:23:15 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2013.01.28 18:06:12 | 000,000,916 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\NAVIGON Fresh.lnk

[2013.01.28 18:05:24 | 022,155,536 | ---- | M] (NAVIGON AG) -- C:\Dokumente und Einstellungen\xxxxx\Eigene Dateien\NAVIGON_Fresh_setup.exe

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2013.02.14 21:30:55 | 009,331,712 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxx\Eigene Dateien\Abertamy 1.pub

[2013.02.14 19:03:54 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk

[2013.01.30 18:14:06 | 000,000,504 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\MA6.INI

[2013.01.30 18:09:17 | 000,001,533 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Mathearbeit  S 6.lnk

[2013.01.30 18:09:17 | 000,001,527 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Mathearbeit S 6.lnk

[2013.01.28 18:06:12 | 000,000,916 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\NAVIGON Fresh.lnk

[2012.12.08 05:49:26 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat

[2012.11.29 21:35:25 | 000,000,221 | ---- | C] () -- C:\WINDOWS\NCLogConfig.ini

[2012.06.16 16:27:06 | 000,000,510 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\mag33.ini

[2012.06.16 16:22:55 | 000,000,147 | ---- | C] () -- C:\WINDOWS\masoft.dat

[2012.05.08 15:14:11 | 000,000,196 | ---- | C] () -- C:\WINDOWS\A35W.INI

[2012.02.16 13:21:42 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll

[2011.09.18 11:17:38 | 000,280,276 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin

[2011.09.18 11:17:38 | 000,280,276 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin

[2011.09.18 11:17:38 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin

[2011.09.18 11:17:16 | 002,128,778 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data

[2009.10.31 10:17:27 | 000,124,928 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

 
 ========== ZeroAccess Check ==========

 

[2012.12.29 13:52:31 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Both

 
 ========== LOP Check ==========

 

[2013.01.28 18:06:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess

[2010.05.31 09:24:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited

[2010.12.11 20:50:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData

[2012.06.11 13:29:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GARMIN

[2010.05.19 17:56:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NETGEAR

[2010.11.21 16:00:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VManager

[2013.01.08 15:06:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\AskToolbar

[2010.05.31 09:24:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Canneverbe Limited

[2011.09.25 16:05:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Foxit Software

[2009.12.31 11:41:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\FUJIFILM

[2010.09.05 03:40:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Gahiek

[2012.12.29 14:04:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\GARMIN

[2012.12.04 17:49:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Image Zone Express

[2012.05.26 16:35:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Inbox Toolbar

[2010.09.05 03:40:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Leyru

[2010.05.22 18:46:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Myycr

[2010.07.21 12:54:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Olexfy

[2010.12.11 20:45:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\PIE

[2010.08.30 08:08:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Thunderbird

[2010.07.16 06:10:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Ukdy

[2010.03.25 17:46:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Vaimny

[2010.08.16 12:44:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Voefem

[2010.07.16 12:22:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxx\Anwendungsdaten\Ydaz

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 
 < %SYSTEMDRIVE%\*. >

[2013.02.14 13:50:09 | 000,000,000 | -H-D | M] -- C:\Config.Msi

[2011.09.18 11:17:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen

[2013.02.14 19:03:33 | 000,000,000 | ---D | M] -- C:\downloads

[2012.12.29 15:10:52 | 000,000,000 | ---D | M] -- C:\Garmin

[2009.10.30 20:16:27 | 000,000,000 | RH-D | M] -- C:\MSOCache

[2011.09.18 11:16:16 | 000,000,000 | ---D | M] -- C:\NVIDIA

[2009.11.04 14:14:10 | 000,000,000 | ---D | M] -- C:\Program Files

[2013.02.14 19:03:53 | 000,000,000 | R--D | M] -- C:\Programme

[2009.10.30 20:25:02 | 000,000,000 | -HSD | M] -- C:\RECYCLER

[2009.10.30 19:28:50 | 000,000,000 | -HSD | M] -- C:\System Volume Information

[2010.10.07 15:35:24 | 000,000,000 | ---D | M] -- C:\TEMP

[2012.12.29 14:03:36 | 000,000,000 | ---D | M] -- C:\WebUpdater

[2013.02.14 08:51:19 | 000,000,000 | ---D | M] -- C:\WINDOWS

 
 < %PROGRAMFILES%\*.exe >

Invalid Environment Variable: LOCALAPPDATA

 
 < %systemroot%\*. /mp /s >

 
 < C:\Windows\system32\*.tsp >

[2008.04.14 03:23:08 | 000,266,240 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\h323.tsp

[2008.04.14 03:23:08 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\hidphone.tsp

[2008.04.14 03:23:08 | 000,017,408 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\ipconf.tsp

[2008.04.14 03:23:08 | 000,033,280 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\kmddsp.tsp

[2008.04.14 03:23:08 | 000,057,344 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\ndptsp.tsp

[2008.04.14 03:23:08 | 000,076,800 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\remotesp.tsp

[2008.04.14 03:23:08 | 000,207,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\unimdm.tsp

[4 C:\Windows\system32\*.tmp files -> C:\Windows\system32\*.tmp -> ]

[2009.10.30 19:23:58 | 000,000,065 | RH-- | C] () -- C:\WINDOWS\Tasks\desktop.ini

[2009.10.30 19:28:46 | 000,000,006 | -H-- | C] () -- C:\WINDOWS\Tasks\SA.DAT

[2010.01.16 10:37:34 | 000,001,090 | ---- | C] () -- C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job

[2010.01.16 10:37:34 | 000,001,094 | ---- | C] () -- C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job

[2011.05.30 14:37:51 | 000,000,276 | ---- | C] () -- C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

[2012.08.10 09:05:15 | 000,000,232 | ---- | C] () -- C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job

 
 < MD5 for: AGP440.SYS  >

[2006.02.28 13:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys

[2010.03.14 08:15:37 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys

[2010.03.14 08:15:37 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys

[2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys

[2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\dllcache\agp440.sys

[2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys

 
 < MD5 for: ATAPI.SYS  >

[2006.02.28 13:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys

[2010.03.14 08:15:37 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys

[2010.03.14 08:15:37 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys

[2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys

[2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\dllcache\atapi.sys

[2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys

[2006.02.28 13:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys

[2006.02.28 13:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys

[2006.02.28 13:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\i386\atapi.sys

 
 < MD5 for: EVENTLOG.DLL  >

[2008.04.14 03:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll

[2008.04.14 03:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll

[2006.02.28 13:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll

 
 < MD5 for: EXPLORER.EXE  >

[2006.02.28 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe

[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe

[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

 
 < MD5 for: NETLOGON.DLL  >

[2008.04.14 03:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll

[2008.04.14 03:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll

[2006.02.28 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB968389\SP2QFE\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB975467\SP2QFE\netlogon.dll

 
 < MD5 for: NVATA.SYS  >

[2005.08.18 10:52:06 | 000,093,568 | R--- | M] (NVIDIA Corporation) MD5=0344AA9113DC16EEC379F4652020849D -- C:\WINDOWS\system32\drivers\nvata.sys

 
 < MD5 for: SCECLI.DLL  >

[2008.04.14 03:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll

[2008.04.14 03:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll

[2006.02.28 13:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll

 
 < MD5 for: USER32.DLL  >

[2006.02.28 13:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll

[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll

[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll

 
 < MD5 for: USERINIT.EXE  >

[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe

[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe

[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe

[2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe

 
 < MD5 for: WINLOGON.EXE  >

[2012.12.14 16:49:28 | 000,216,424 | ---- | M] () MD5=22101A85B3CA2FE2BE05FE9A61A7A83D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe

[2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe

[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe

[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

 
 < MD5 for: WS2IFSL.SYS  >

[2006.02.28 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys

[2006.02.28 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys

 
 < %systemroot%\system32\drivers\*.sys /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

[2009.10.30 20:13:43 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav

[2009.10.30 20:13:43 | 000,663,552 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav

[2009.10.30 20:13:43 | 000,430,080 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav

 
 < %systemroot%\system32\*.dll /lockedfiles >

[4 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 < %USERPROFILE%\*.* >

[2013.02.14 21:11:34 | 009,699,328 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxxxx\NTUSER.DAT

[2013.02.14 22:32:40 | 000,001,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxxxx\ntuser.dat.LOG

[2013.02.14 07:24:39 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxxxx\ntuser.ini

 
 < %USERPROFILE%\Local Settings\Temp\*.exe >

 
 < %USERPROFILE%\Local Settings\Temp\*.dll >

 
 < %USERPROFILE%\Application Data\*.exe >

 
 < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2013.01.04 11:09:09 | 001,867,392 | ---- | M] (Microsoft Corporation)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

 
 <           >
 

< End of report >

--- --- ---

hi
reichst du mir bitte die Avira Funde noch nach:
http://www.trojaner-board.de/125889-...en-posten.html

hm, bei Avira ist unter "Funde" alles leer..

gutgut.
Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

hier das combofix logfile von PC 2

Combofix Logfile:

Code:

ComboFix 13-02-15.01 - xxxxx 15.02.2013  20:48:07.1.1 - x86

Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.2047.1566 [GMT 1:00]

ausgeführt von:: c:\dokumente und einstellungen\xxxxx\Desktop\ComboFix.exe

AV: Avira Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}

.

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.

.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\dokumente und einstellungen\xxxxx\Anwendungsdaten\Olexfy

c:\dokumente und einstellungen\xxxxx\Anwendungsdaten\Olexfy\ipylz.ipn

c:\dokumente und einstellungen\xxxxx\Anwendungsdaten\Olexfy\ipylz.tmp

c:\dokumente und einstellungen\xxxxx\WINDOWS

c:\windows\IsUn0407.exe

c:\windows\system32\SETC1.tmp

c:\windows\system32\SETC6.tmp

c:\windows\system32\WinSys.exe

c:\windows\unin0407.exe

.

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

-------\Legacy_SSHNAS

.

.

(((((((((((((((((((((((   Dateien erstellt von 2013-01-15 bis 2013-02-15  ))))))))))))))))))))))))))))))

.

.

2013-02-14 18:03 . 2013-02-14 18:03        --------        dc----w-        c:\dokumente und einstellungen\xxxxx\Anwendungsdaten\Malwarebytes

2013-02-14 18:03 . 2013-02-14 18:03        --------        d-----w-        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2013-02-14 18:03 . 2013-02-14 18:03        --------        dc----w-        c:\programme\Malwarebytes' Anti-Malware

2013-02-14 18:03 . 2012-12-14 15:49        21104        -c--a-w-        c:\windows\system32\drivers\mbam.sys

2013-01-30 17:09 . 2013-01-30 17:13        --------        dc----w-        c:\programme\MATHEARBEIT S6

2013-01-30 17:08 . 2011-06-06 15:23        421064        -c--a-w-        c:\windows\uninstall\MATHEARBEIT S\setup.exe

.

.

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2013-01-26 03:55 . 2006-02-28 12:00        552448        -c--a-w-        c:\windows\system32\oleaut32.dll

2013-01-17 13:09 . 2012-04-21 07:47        697864        -c--a-w-        c:\windows\system32\FlashPlayerApp.exe

2013-01-17 13:09 . 2011-05-22 16:51        74248        -c--a-w-        c:\windows\system32\FlashPlayerCPLApp.cpl

2013-01-07 07:24 . 2006-02-28 12:00        2195328        -c--a-w-        c:\windows\system32\ntoskrnl.exe

2013-01-07 07:24 . 2004-08-04 00:50        2072064        -c--a-w-        c:\windows\system32\ntkrnlpa.exe

2013-01-04 10:09 . 2006-02-28 12:00        1867392        -c--a-w-        c:\windows\system32\win32k.sys

2013-01-02 06:49 . 2006-02-28 12:00        148992        -c--a-w-        c:\windows\system32\mpg2splt.ax

2013-01-02 06:49 . 2006-02-28 12:00        1297920        -c--a-w-        c:\windows\system32\quartz.dll

2012-12-26 20:37 . 2006-02-28 12:00        832512        -c--a-w-        c:\windows\system32\wininet.dll

2012-12-26 20:37 . 2006-02-28 12:00        1830912        -c----w-        c:\windows\system32\inetcpl.cpl

2012-12-26 20:37 . 2006-02-28 12:00        78336        -c--a-w-        c:\windows\system32\ieencode.dll

2012-12-26 20:37 . 2006-02-28 12:00        17408        -c----w-        c:\windows\system32\corpol.dll

2012-12-16 12:23 . 2006-02-28 12:00        290560        -c--a-w-        c:\windows\system32\atmfd.dll

2013-02-06 15:21 . 2013-02-06 15:21        262552        -c--a-w-        c:\programme\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4

.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\programme\Ask.com\GenericAskToolbar.dll" [2013-02-08 1521800]

.

[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2006-03-01 577536]

"SW20"="c:\windows\system32\sw20.exe" [2006-05-18 208896]

"SW24"="c:\windows\system32\sw24.exe" [2006-05-17 69632]

"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]

"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2012-08-09 348664]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-08-03 13892200]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2011-08-03 111208]

"ApnUpdater"="c:\programme\Ask.com\Updater\Updater.exe" [2012-06-20 1568976]

.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages        REG_MULTI_SZ           msv1_0 nwprovau

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2012-12-03 07:35        946352        -c--a-w-        c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ANIWZCS2Service]

2006-06-29 16:34        49152        ----a-w-        c:\programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\D-Link AirPlus G]

2006-11-17 15:54        1552384        ----a-w-        c:\programme\D-Link\AirPlus G\AirGCFG.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

2005-05-11 22:12        49152        ----a-w-        c:\programme\HP\HP Software Update\hpwuSchd2.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REGSHAVE]

2002-02-04 21:32        53248        -c----w-        c:\programme\REGSHAVE\REGSHAVE.EXE

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programme\\NVIDIA Corporation\\NVIDIA Updatus\\daemonu.exe"=

.

R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [13.01.2012 17:58 36000]

R2 AntiVirSchedulerService;Avira Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [13.01.2012 17:58 86224]

R2 AntiVirWebService;Avira Browser Schutz;c:\programme\Avira\AntiVir Desktop\avwebgrd.exe [13.01.2012 17:58 465360]

R3 JSWSCIMD;jswscimd Service;c:\windows\system32\drivers\jswscimd.sys [01.10.2008 15:45 57440]

R3 MHIKEY10;MHIKEY10;c:\windows\system32\drivers\MHIKEY10.sys [10.02.2011 03:34 51968]

R3 WNA1000;NETGEAR WNA1000 USB2.0 Wireless Card Service;c:\windows\system32\drivers\WNA1000.sys [14.01.2009 01:23 458752]

S3 APL531;OVT Scanner;c:\windows\system32\drivers\ov550i.sys [31.07.2006 20:44 580992]

S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;c:\windows\system32\DNINDIS5.sys [24.07.2003 11:10 17149]

S3 jswpsapi;Jumpstart Wifi Protected Setup;c:\programme\NETGEAR\WNA1000\jswpsapi.exe [27.02.2008 10:54 360547]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

.

--- Andere Dienste/Treiber im Speicher ---

.

*NewlyCreated* - WS2IFSL

.

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]

2013-02-02 03:49        1607120        -c--a-w-        c:\programme\Google\Chrome\Application\24.0.1312.57\Installer\chrmstp.exe

.

Inhalt des "geplante Tasks" Ordners

.

2013-02-05 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programme\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]

.

2013-02-15 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-16 09:37]

.

2013-02-15 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-16 09:37]

.

2013-02-15 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job

- c:\programme\Ask.com\UpdateTask.exe [2013-02-08 14:17]

.

.

------- Zusätzlicher Suchlauf -------

.

uStart Page = hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale=de_DE

IE: Bild in &Microsoft PhotoDraw öffnen - c:\progra~1\MICROS~2\Office\1031\phdintl.dll/phdContext.htm

IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

LSP: c:\programme\Avira\AntiVir Desktop\avsda.dll

TCP: Interfaces\{1A13747F-D8DB-43E5-A4F1-A74C9780B64E}: NameServer = 192.168.2.1

TCP: Interfaces\{1B99CBD8-604C-45B0-B679-9A38168B09DD}: NameServer = 192.168.2.1

TCP: Interfaces\{3E8C7127-0201-4B68-830D-194FC0AD3DF9}: NameServer = 192.168.2.1

TCP: Interfaces\{8BA6CAE0-C8B3-42EB-95A3-4E2EEB5F1B65}: NameServer = 192.168.2.1

FF - ProfilePath - c:\dokumente und einstellungen\xxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\

FF - prefs.js: browser.search.selectedEngine - Ask.com

FF - prefs.js: browser.startup.homepage - hxxp://search.avira.com/?l=dis&o=APN10395&gct=hp&dc=EU&locale=de_DE

FF - ExtSQL: 2012-12-29 13:54; {20a82645-c095-46ed-80e3-08825760534b}; c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

FF - ExtSQL: !HIDDEN! 2011-12-12 16:16; {184AA5E6-741D-464a-820E-94B3ABC2F3B4}; c:\windows\system32\5056

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -

.

BHO-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)

BHO-{EFF39A40-C163-4d5d-B073-52FBB55C646A} - (no file)

HKLM-Run-jswtrayutil - c:\programme\NETGEAR\WNA1000\jswtrayutil.exe

MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe

MSConfigStartUp-XBV6RD5SZF - c:\dokume~1\xxxxx\LOKALE~1\Temp\Znr.exe

MSConfigStartUp-{2203662F-28ED-01EE-7668-3A2E7DAEA7DC} - c:\dokumente und einstellungen\xxxxx\Anwendungsdaten\Ydaz\axibo.exe

MSConfigStartUp-{92197FD0-0091-8C39-C5E0-0A3DB19E2864} - c:\dokumente und einstellungen\xxxxx\Anwendungsdaten\Leyru\kiiv.exe

AddRemove-OVT Scanner - c:\windows\omniuns.exe USB\Vid_05a9&PID_1550 OVT Scanner

AddRemove-SCHREIBEN 1.0 - c:\windows\unin0407.exe

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net

Rootkit scan 2013-02-15 20:59

Windows 5.1.2600 Service Pack 3 NTFS

.

Scanne versteckte Prozesse... 

.

Scanne versteckte Autostarteinträge... 

.

Scanne versteckte Dateien... 

.

Scan erfolgreich abgeschlossen

versteckte Dateien: 0

.

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

.

- - - - - - - > 'lsass.exe'(1708)

c:\programme\Avira\AntiVir Desktop\avsda.dll

.

- - - - - - - > 'explorer.exe'(3084)

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\windows\system32\acs.exe

c:\programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

c:\programme\Avira\AntiVir Desktop\avguard.exe

c:\programme\CDBurnerXP\NMSAccessU.exe

c:\windows\system32\nvsvc32.exe

c:\programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe

c:\windows\system32\HPZipm12.exe

c:\programme\Avira\AntiVir Desktop\avshadow.exe

c:\windows\SOUNDMAN.EXE

c:\windows\system32\RUNDLL32.EXE

.

**************************************************************************

.

Zeit der Fertigstellung: 2013-02-15  21:03:00 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2013-02-15 20:02

.

Vor Suchlauf: 10 Verzeichnis(se), 20.134.789.120 Bytes frei

Nach Suchlauf: 13 Verzeichnis(se), 22.668.705.792 Bytes frei

.

- - End Of File - - 176F4BD12A82C2A00552BF7951FC92C8

--- --- ---

Übrigens PC Nr 4 ist sauber. PC Nr 5 nicht mehr in Verwendung

Hi
und auch hier muss ich fragen:
wird dieses Gerät für onlinebanking, zum einkaufen, für sonstige Zahlungsabwicklungen, oder ähnlich wichtigem, wie beruflichem genutzt?

beruflich ja, ist allerdings auch nicht mein PC..

Kannst du schon ne aussage machen, was mit dem pc los ist? bzw wie schwer der infiziert ist?

hi
hier gilt das selbe wie auf dem ersten.
Da war ein Trojan.Zbot + Trojan.bankpatch instaliert.
beide stehlen sensible Daten.
Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und der sicherste Weg, zumal du deinen PC
für onlinebanking, verwendest
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.
Ich persönlich würde auch den neu machen und wie oben absichern.
Entscheidung liegt bei dir.
sorry für 2 schlechte Nachichten auf einmal.
Aber laut deiner Aussage sieht PC3 ja besser aus, dass lesst hoffen.
ps, beide können für die Telekom Meldung verantwortlich sein.

hm, lass uns mal die bereinigung versuchen. das problem bei diesem pc ist, wie gesagt, dass das nicht meiner ist.

Dann solltest du das mit dem Besitzer absprechen, denke da es sein PC ist, hat er ein mitspracherecht, zumal du ja sagst, das Gerät wird beruflich genutzt und malware zum ausspähen von passwörtern etc genutzt wird, hinweisen solltest du ihn auch auf das von mir gesagte, dass man für eine Bereinigung nicht 100 %ig garantieren kann

Ich denke, das ist dem Besitzer klar. Wir sollen es versuchen.

lade den CCleaner standard:
CCleaner - Download - Filepony
falls der CCleaner
bereits instaliert, überspringen.
öffnen, Tools (extras),uninstall Llist, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

so, hier die liste:

Zitat:

Adobe Flash Player 10 ActiveX Adobe Systems Incorporated 14.02.2013 10.0.22.87 unbekannt
Adobe Flash Player 11 Plugin Adobe Systems Incorporated 14.02.2013 11.5.502.146 notwendig
Adobe Reader X (10.1.5) - Deutsch Adobe Systems Incorporated 08.02.2013 120,00MB 10.1.5 notwendig
AirPlus G D-Link 17.02.2010 unnötig
ANIO Service 21.11.2010 unbekannt
ANIWZCS2 Service 21.11.2010 unbekannt
Apple Application Support Apple Inc. 30.05.2011 54,52MB 1.4.1 unbekannt
Apple Software Update Apple Inc. 02.08.2011 2,38MB 2.1.3.127 unbekannt
Avira Free Antivirus Avira 15.02.2013 12.1.9.1236 notwendig
Avira SearchFree Toolbar plus Web Protection Ask.com 14.02.2013 4,72MB 1.15.18.0 unnötig
Avira SearchFree Toolbar plus Web Protection Updater Ask.com 14.02.2013 1.3.0.23930 unnötig
CCleaner Piriform 23.01.2013 3.27 notwendig
CDBurnerXP CDBurnerXP 11.01.2013 4.3.2.2140 notwendig
CyberView CS - Combo IR 1.2c (Build 20091203) Pacific Image Electronics Co., Ltd. 11.12.2010 0.00.0002 unbekannt
EasyGPS 4.29 TopoGrafix 19.11.2011 4.29 notwendig
FinePixViewer Resource FUJIFILM Corporation 31.12.2009 1.2 unnötig
FinePixViewer Ver.5.4 FUJIFILM Corporation 31.12.2009 5.4 unnötig
Foxit Reader 5.0 Foxit Corporation 18.09.2011 5.0.2.718 unnötig
FUJIFILM USB Driver 21.11.2010 notwendig

Garmin BaseCamp Garmin Ltd or its subsidiaries 29.12.2012 120,00MB 4.0.5
Garmin Communicator Plugin Garmin Ltd or its subsidiaries 20.11.2011 14,72MB 3.0.1
Garmin MapSource Garmin Ltd or its subsidiaries 11.06.2012 116,00MB 6.16.3
Garmin Trip and Waypoint Manager v5 Garmin Ltd or its subsidiaries 21.01.2010 136,00MB 5.0.0.0
Garmin USB Drivers Garmin Ltd or its subsidiaries 29.12.2012 0,13MB 2.3.0.0 alles notwendig

Google Chrome Google Inc. 20.03.2012 24.0.1312.57 unnötig
Google Earth Google 20.04.2012 107,00MB 6.2.2.6613 notwendig

HP Extended Capabilities 5.3 HP 04.11.2009 5.3
HP Image Zone Express Hewlett-Packard 04.11.2009 8,95MB 1.5.1.29
HP Imaging Device Functions 5.3 HP 04.11.2009 5.3
HP PSC & OfficeJet 5.3.B HP 04.11.2009
HP Solution Center & Imaging Support Tools 5.3 HP 04.11.2009 5.3
alles notwendig

Inbox Toolbar Inbox.com, Inc. 26.05.2012 1.0.0.135 unbekannt
Malwarebytes Anti-Malware Version 1.70.0.1100 Malwarebytes Corporation 14.02.2013 1.70.0.1100 notwendig
*****************************
Microsoft .NET Framework 2.0 Service Pack 2 Microsoft Corporation 13.02.2013 182,00MB 2.2.30729
Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU Microsoft Corporation 29.12.2012 6,30MB 2.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Microsoft Corporation 10.01.2013 252,00MB 3.2.30729
Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU Microsoft Corporation 29.12.2012 37,22MB 3.2.30729
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU Microsoft Corporation 29.12.2012
Microsoft .NET Framework 3.5 SP1 Microsoft Corporation 10.01.2013
Microsoft .NET Framework 4 Client Profile Microsoft Corporation 13.02.2013 4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack Microsoft Corporation 28.06.2011 4.0.30319
Microsoft .NET Framework 4 Extended Microsoft Corporation 10.01.2013 4.0.30319
Microsoft .NET Framework 4 Extended DEU Language Pack Microsoft Corporation 31.05.2010 4.0.30319
Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Corporation 27.10.2010 1
Microsoft Office File Validation Add-In Microsoft Corporation 15.09.2011 11,21MB 14.0.5130.5003
Microsoft Office Professional Plus 2007 Microsoft Corporation 13.02.2013 12.0.6612.1000
Microsoft PhotoDraw 2000 V2 Microsoft Corporation 14.09.2010 100,00MB 2.00.00.1429
Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Corporation 27.10.2010
Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148 Microsoft Corporation 18.02.2010 0,15MB 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570 Microsoft Corporation 15.04.2011 10,20MB 9.0.30729.5570
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17 Microsoft Corporation 17.02.2010 46,40MB 9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161 Microsoft Corporation 16.06.2011 10,20MB 9.0.30729.6161
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219 Microsoft Corporation 15.01.2012 14,97MB 10.0.40219
************************************
alles notwendig

Mozilla Firefox 18.0.2 (x86 de) Mozilla 06.02.2013 18.0.2 notwendig
Mozilla Maintenance Service Mozilla 07.02.2013 18.0.2 notwendig
Mozilla Thunderbird 17.0.2 (x86 de) Mozilla 10.01.2013 17.0.2 notwendig
MSXML 4.0 SP2 (KB954430) Microsoft Corporation 03.12.2009 2,67MB 4.20.9870.0 unbekannt
MSXML 4.0 SP2 (KB973688) Microsoft Corporation 03.12.2009 2,77MB 4.20.9876.0 unbekannt
NAVIGON Fresh 3.4.1 NAVIGON 28.01.2013 3.4.1 notwendig

NVIDIA Drivers 30.10.2009
NVIDIA Grafiktreiber 280.26 NVIDIA Corporation 01.08.2012 280.26
NVIDIA nView 135.94 NVIDIA Corporation 18.09.2011 135.94
NVIDIA Update 1.4.28 NVIDIA Corporation 18.09.2011 1.4.28
alles notwendig

OVT Scanner X86 Ihr Firmenname 11.12.2010 1,70MB 1.00.0000 unbekannt
Realtek AC'97 Audio Realtek Semiconductor Corp. 30.10.2009 5.23 notwendig
Spybot - Search & Destroy Safer Networking Limited 01.11.2009 1.6.2 unbekannt
Windows Driver Package - Garmin (grmnusb) GARMIN Devices (06/03/2009 2.3.0.0) Garmin 20.02.2010 06/03/2009 2.3.0.0 notwendig
Windows Internet Explorer 7 Microsoft Corporation 17.02.2010 20070813.185237 unnötig
Windows Media Format 11 runtime 27.10.2010 notwendig
Windows Media Player 11 27.10.2010 notwendig
Windows XP Service Pack 3 Microsoft Corporation 14.03.2010 20080414.031514 notwendig
Wireless-N 150 USB Adapter WNA1000 NETGEAR 19.05.2010 1.00.0000 notwendig

deinstaliere:
Adobe Flash Player alle
Adobe - Adobe Flash Player installieren
neueste version laden, instalieren.
adobe reader:
Adobe - Adobe Reader herunterladen - Alle Versionen
haken bei mcafee security scan raus nehmen

bitte auch mal den adobe reader wie folgt konfigurieren:
adobe reader öffnen, bearbeiten, voreinstellungen.
allgemein:
nur zertifizierte zusatz module verwenden, anhaken.
Sicherheit (erweitert)
Erweiterte Sicherheit anhaken
und alle Dateien auswählen.
internet:
hier sollte alles deaktiviert werden, es ist sehr unsicher pdfs automatisch zu öffnen, zu downloaden etc.
es ist immer besser diese direkt abzuspeichern da man nur so die kontrolle hat was auf dem pc vor geht.
bei javascript den haken bei java script verwenden raus nehmen
bei updater, automatisch instalieren wählen.
übernehmen /ok

deinstaliere:
AirPlus
Avira SearchFree : beide
FinePixViewer : beide
Foxit
Google Chrome
Inbox
Spybot

Öffne CCleaner, analysieren, starten, PC neustarten.
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

alles soweit erledigt; hier das log-file vom adw-cleaner

AdwCleaner Logfile:

Code:

# AdwCleaner v2.112 - Datei am 18/02/2013 um 20:35:58 erstellt

# Aktualisiert am 10/02/2013 von Xplode

# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)

# Benutzer : xxxxxxxxxx - xxxxxxxxxx

# Bootmodus : Normal

# Ausgeführt unter : C:\Dokumente und Einstellungen\xxxxxxxxxx\Desktop\adwcleaner0.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Datei Gelöscht : C:\Dokumente und Einstellungen\xxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\searchplugins\Askcom.xml

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\boost_interprocess

Ordner Gelöscht : C:\Dokumente und Einstellungen\xxxxxxxxxx\Lokale Einstellungen\Anwendungsdaten\APN
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{C04B7D22-5AEC-4561-8F49-27F6269208F6}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D3D233D5-9F6D-436C-B6C7-E63F77503B30}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D7E97865-918F-41E4-9CD0-25AB1C574CE8}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D3D233D5-9F6D-436C-B6C7-E63F77503B30}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D7E97865-918F-41E4-9CD0-25AB1C574CE8}

Schlüssel Gelöscht : HKCU\Software\Softonic

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{612AD33D-9824-4E87-8396-92374E91C4BB}_is1

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D3D233D5-9F6D-436C-B6C7-E63F77503B30}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D7E97865-918F-41E4-9CD0-25AB1C574CE8}

Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D7E97865-918F-41E4-9CD0-25AB1C574CE8}]

Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{D3D233D5-9F6D-436C-B6C7-E63F77503B30}]
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v7.0.6000.17117
 

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.inbox.com/homepage.aspx?tbid=80195&lng=de --> hxxp://www.google.com

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Search Bar] = hxxp://www2.inbox.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=%tb_id&%language 
 

--> hxxp://www.google.com

Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - SearchAssistant] = hxxp://toolbar.inbox.com/search/ie.aspx?tbid=80195 --> hxxp://www.google.com

Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Search - CustomizeSearch] = hxxp://toolbar.inbox.com/help/sa_customize.aspx?tbid=80195 --> 
 

hxxp://www.google.com

Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - SearchAssistant] = hxxp://toolbar.inbox.com/search/ie.aspx?tbid=80195 --> hxxp://www.google.com

Ersetzt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - CustomizeSearch] = hxxp://toolbar.inbox.com/help/sa_customize.aspx?tbid=80195 --> 
 

hxxp://www.google.com
 

-\\ Mozilla Firefox v18.0.2 (de)
 

Datei : C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\78s0ioio.default\prefs.js
 

[OK] Die Datei ist sauber.
 

Datei : C:\Dokumente und Einstellungen\xxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\prefs.js
 

Gelöscht : user_pref("browser.search.order.1", "Ask.com");
 

*************************
 

AdwCleaner[S1].txt - [4433 octets] - [18/02/2013 20:35:58]
 

########## EOF - C:\AdwCleaner[S1].txt - [4493 octets] ##########

--- --- ---

hi
Hitmanpro laden:
HitmanPro - Download - Filepony

Doppelklick, Lizenz, testlizenz.
Auf scan, nichts löschen.
Auf weiter, Log als XML exportieren und posten, bzw packen und anhängen.

hitmanpro log

Zitat:

Hi,
ok lösche mal alle Hitmanpro Funde.
Starte neu poste ein neues OTL log.

otl log

OTL Logfile:

Code:

OTL logfile created on: 18.02.2013 21:54:03 - Run 2

OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop

Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 7.0.5730.13)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,00 Gb Total Physical Memory | 1,55 Gb Available Physical Memory | 77,40% Memory free

3,85 Gb Paging File | 3,49 Gb Available in Paging File | 90,66% Paging File free

Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme

Drive C: | 50,00 Gb Total Space | 22,33 Gb Free Space | 44,66% Space Free | Partition Type: NTFS

Drive D: | 322,60 Gb Total Space | 318,62 Gb Free Space | 98,77% Space Free | Partition Type: NTFS

 

Computer Name: xxxxxxxxxxxx | User Name: xxxxxxxxxxxx | Logged in as Administrator.

Boot Mode: Normal | Scan Mode: Current user | Quick Scan

Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\Avira\AntiVir Desktop\avshadow.exe (Avira Operations GmbH & Co. KG)

PRC - C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation)

PRC - C:\Programme\CDBurnerXP\NMSAccessU.exe ()

PRC - C:\WINDOWS\system32\acs.exe (Atheros)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)

PRC - C:\WINDOWS\system32\HPZipm12.exe (HP)

 

 
 ========== Modules (No Company Name) ==========

 

MOD - C:\Programme\Avira\AntiVir Desktop\sqlite3.dll ()

MOD - C:\Programme\CDBurnerXP\NMSAccessU.exe ()

 

 
 ========== Services (SafeList) ==========

 

SRV - (HidServ) -- %SystemRoot%\System32\hidserv.dll File not found

SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)

SRV - (MozillaMaintenance) -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe (Mozilla Foundation)

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)

SRV - (nvUpdatusService) -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe (NVIDIA Corporation)

SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)

SRV - (NMSAccess) -- C:\Programme\CDBurnerXP\NMSAccessU.exe ()

SRV - (ACS) -- C:\WINDOWS\system32\acs.exe (Atheros)

SRV - (jswpsapi) -- C:\Programme\NETGEAR\WNA1000\jswpsapi.exe (Atheros Communications, Inc.)

SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)

SRV - (Pml Driver HPZ12) -- C:\WINDOWS\system32\HPZipm12.exe (HP)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (WDICA) --  File not found

DRV - (SetupNTGLM7X) -- E:\NTGLM7X.sys File not found

DRV - (PDRFRAME) --  File not found

DRV - (PDRELI) --  File not found

DRV - (PDFRAME) --  File not found

DRV - (PDCOMP) --  File not found

DRV - (PCIDump) --  File not found

DRV - (NTACCESS) -- E:\NTACCESS.sys File not found

DRV - (MSICPL) -- E:\install4\MSICPL.sys File not found

DRV - (lbrtfdc) --  File not found

DRV - (i2omgmt) --  File not found

DRV - (GMSIPCI) -- E:\INSTALL\GMSIPCI.SYS File not found

DRV - (Changer) --  File not found

DRV - (catchme) -- C:\ComboFix\catchme.sys File not found

DRV - (avipbb) -- C:\WINDOWS\system32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgntflt) -- C:\WINDOWS\system32\drivers\avgntflt.sys (Avira GmbH)

DRV - (avkmgr) -- C:\WINDOWS\system32\drivers\avkmgr.sys (Avira GmbH)

DRV - (MHIKEY10) -- C:\WINDOWS\system32\drivers\MHIKEY10.sys (Generic USB smartcard reader)

DRV - (ssmdrv) -- C:\WINDOWS\system32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (StarOpen) -- C:\WINDOWS\System32\drivers\StarOpen.sys ()

DRV - (WNA1000) -- C:\WINDOWS\system32\drivers\WNA1000.sys (Atheros Communications, Inc.)

DRV - (JSWSCIMD) -- C:\WINDOWS\system32\drivers\jswscimd.sys (Atheros Communications, Inc.)

DRV - (NwlnkIpx) -- C:\WINDOWS\system32\drivers\nwlnkipx.sys (Microsoft Corporation)

DRV - (WSIMD) -- C:\WINDOWS\system32\drivers\wsimd.sys (Atheros Communications, Inc.)

DRV - (APL531) -- C:\WINDOWS\system32\drivers\ov550i.sys (Omnivision Technologies, Inc.)

DRV - (ALCXWDM) -- C:\WINDOWS\system32\drivers\alcxwdm.sys (Realtek Semiconductor Corp.)

DRV - (NwlnkNb) -- C:\WINDOWS\system32\drivers\nwlnknb.sys (Microsoft Corporation)

DRV - (NwlnkSpx) -- C:\WINDOWS\system32\drivers\nwlnkspx.sys (Microsoft Corporation)

DRV - (RT73) -- C:\WINDOWS\system32\drivers\Dr71WU.sys (Ralink Technology, Corp.)

DRV - (nvata) -- C:\WINDOWS\system32\drivers\nvata.sys (NVIDIA Corporation)

DRV - (nvnetbus) -- C:\WINDOWS\system32\drivers\nvnetbus.sys (NVIDIA Corporation)

DRV - (NVENETFD) -- C:\WINDOWS\system32\drivers\NVENETFD.sys (NVIDIA Corporation)

DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)

DRV - (DNINDIS5) -- C:\WINDOWS\system32\DNINDIS5.sys (Printing Communications Assoc., Inc. (PCAUSA))

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = hxxp://www.google.com

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com

IE - HKLM\..\SearchScopes,DefaultScope = 

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

 

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com

IE - HKCU\..\SearchScopes,DefaultScope = 

IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC

IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 
 ========== FireFox ==========

 

FF - prefs.js..browser.search.defaultengine: "Google"

FF - prefs.js..browser.search.defaultenginename: "Google"

FF - prefs.js..browser.startup.homepage: "www.google.de"

FF - prefs.js..extensions.enabledAddons: info%40youtube-mp3.org:1.0.4

FF - prefs.js..extensions.enabledAddons: %7B195A3098-0BD5-4e90-AE22-BA1C540AFD1E%7D:4.0.4

FF - prefs.js..extensions.enabledAddons: %7B184AA5E6-741D-464a-820E-94B3ABC2F3B4%7D:1.0

FF - prefs.js..extensions.enabledAddons: %7B73a6fe31-595d-460b-a920-fcc0f8843232%7D:2.6.4.4

FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:18.0.2

FF - user.js - File not found

 

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_168.dll ()

FF - HKLM\Software\MozillaPlugins\@garmin.com/GpsControl: C:\Programme\Garmin GPS Plugin\npGarmin.dll (GARMIN Corp.)

FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

 

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\WINDOWS\system32\5056 [2011.12.12 16:16:56 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.2\extensions\\Components: C:\Programme\Mozilla Firefox\components [2013.02.06 16:21:42 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 18.0.2\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2013.02.18 20:12:00 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.2\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2013.01.09 18:16:59 | 000,000,000 | ---D | M]

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.2\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins

FF - HKEY_CURRENT_USER\software\mozilla\Firefox\extensions\\{184AA5E6-741D-464a-820E-94B3ABC2F3B4}: C:\WINDOWS\system32\5056 [2011.12.12 16:16:56 | 000,000,000 | ---D | M]

 

[2011.09.18 15:46:10 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Mozilla\Extensions

[2010.08.30 08:08:36 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}

[2013.02.18 20:55:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\extensions

[2012.12.01 07:42:16 | 000,000,000 | ---D | M] (Garmin Communicator) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E}

[2012.11.28 19:55:39 | 000,006,796 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\extensions\info@youtube-mp3.org.xpi

[2013.02.18 20:55:18 | 000,533,536 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi

[2013.02.18 20:49:54 | 000,817,280 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Mozilla\Firefox\Profiles\kenpf0uv.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi

[2013.02.06 16:21:32 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

[2011.12.12 16:16:56 | 000,000,000 | ---D | M] (Java String Helper) -- C:\WINDOWS\SYSTEM32\5056

[2013.02.06 16:21:42 | 000,262,552 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll

[2012.07.05 14:27:36 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml

[2012.09.15 06:31:48 | 000,002,465 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml

[2012.07.05 14:27:36 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml

[2012.07.05 14:27:36 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml

[2012.07.05 14:27:36 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml

[2012.07.05 14:27:36 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

 

O1 HOSTS File: ([2013.02.15 20:51:55 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)

O2 - BHO: (no name) - {EFF39A40-C163-4d5d-B073-52FBB55C646A} - No CLSID value found.

O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\soundman.exe (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [SW20] C:\WINDOWS\system32\sw20.exe ()

O4 - HKLM..\Run: [SW24] C:\WINDOWS\system32\sw24.exe ()

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - C:\Programme\Microsoft Office\Office\1031\PHDINTL.DLL (Microsoft Corporation)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)

O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab (Reg Error: Key error.)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1A13747F-D8DB-43E5-A4F1-A74C9780B64E}: NameServer = 192.168.2.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1B99CBD8-604C-45B0-B679-9A38168B09DD}: NameServer = 192.168.2.1

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)

O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)

O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home

O30 - LSA: Authentication Packages - (nwprovau) - C:\WINDOWS\System32\nwprovau.dll (Microsoft Corporation)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009.10.30 19:25:42 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = ComFile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

 

ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)

ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow

ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4

ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation

ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll

ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java

ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack

ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe

ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework

ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring

ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install

ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT

ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow

ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx

ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help

ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes

ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7

ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)

ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser

ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW

ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools

ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements

ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player

ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access

ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders

ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll

ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings

ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - DOTNETFRAMEWORKS

ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding

ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework

ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework

ActiveX: {C3C986D6-06B1-43BF-90DD-BE30756C00DE} - RevokedRootsUpdate

ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts

ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner

ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1

ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player

ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help

ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface

ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe

ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP

ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP

ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE

 

NetSvcs: 6to4 -  File not found

NetSvcs: HidServ - %SystemRoot%\System32\hidserv.dll File not found

NetSvcs: Ias -  File not found

NetSvcs: Iprip -  File not found

NetSvcs: Irmon -  File not found

NetSvcs: Nwsapagent -  File not found

NetSvcs: WmdmPmSp -  File not found

 

MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

MsConfig - StartUpReg: ANIWZCS2Service - hkey= - key= -  File not found

MsConfig - StartUpReg: D-Link AirPlus G - hkey= - key= -  File not found

MsConfig - StartUpReg: HP Software Update - hkey= - key= - C:\Programme\HP\HP Software Update\hpwuSchd2.exe (Hewlett-Packard Co.)

MsConfig - StartUpReg: REGSHAVE - hkey= - key= - C:\Programme\REGSHAVE\REGSHAVE.EXE (FUJI PHOTO FILM CO., LTD.)

MsConfig - State: "system.ini" - 0

MsConfig - State: "win.ini" - 0

MsConfig - State: "bootini" - 0

MsConfig - State: "services" - 0

MsConfig - State: "startup" - 2

 

CREATERESTOREPOINT

Restore point Set: OTL Restore Point

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2013.02.18 21:09:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HitmanPro

[2013.02.18 21:08:49 | 008,984,048 | ---- | C] (SurfRight B.V.) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop\HitmanPro.exe

[2013.02.18 20:30:59 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Recent

[2013.02.18 20:11:38 | 000,000,000 | ---D | C] -- C:\Programme\Adobe

[2013.02.18 17:34:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner

[2013.02.18 17:34:41 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner

[2013.02.18 17:33:58 | 004,189,792 | ---- | C] (Piriform Ltd) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop\ccsetup327.exe

[2013.02.17 18:59:57 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Adobe

[2013.02.17 10:23:28 | 000,000,000 | -HSD | C] -- C:\RECYCLER

[2013.02.15 21:03:02 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp

[2013.02.15 20:45:24 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe

[2013.02.15 20:45:24 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe

[2013.02.15 20:45:24 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe

[2013.02.15 20:45:24 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe

[2013.02.15 20:45:17 | 000,000,000 | ---D | C] -- C:\Qoobox

[2013.02.15 20:45:03 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt

[2013.02.15 20:37:42 | 005,033,715 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop\ComboFix.exe

[2013.02.14 22:50:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop\OTL logfiles - NICHT LÖSCHEN

[2013.02.14 22:20:09 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop\OTL.exe

[2013.02.14 19:03:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Malwarebytes

[2013.02.14 19:03:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware

[2013.02.14 19:03:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

[2013.02.14 19:03:53 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2013.02.14 19:03:53 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware

[2013.02.13 18:08:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 13 C + K

[2013.02.08 15:41:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Startmenü\Programme\NETGEAR WNA1000 Adapter

[2013.02.06 16:21:31 | 000,000,000 | ---D | C] -- C:\Programme\Mozilla Firefox

[2013.01.30 18:09:11 | 000,000,000 | ---D | C] -- C:\Programme\MATHEARBEIT S6

[2013.01.28 18:06:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\NAVIGON

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2013.02.18 21:54:00 | 000,001,094 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job

[2013.02.18 21:51:02 | 000,000,053 | ---- | M] () -- C:\biosinfo

[2013.02.18 21:50:59 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2013.02.18 21:50:46 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job

[2013.02.18 21:50:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2013.02.18 21:41:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job

[2013.02.18 21:09:43 | 008,984,048 | ---- | M] (SurfRight B.V.) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop\HitmanPro.exe

[2013.02.18 20:35:06 | 000,587,671 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop\adwcleaner0.exe

[2013.02.18 20:12:00 | 000,001,714 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk

[2013.02.18 17:34:43 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk

[2013.02.18 17:33:58 | 004,189,792 | ---- | M] (Piriform Ltd) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop\ccsetup327.exe

[2013.02.17 10:21:59 | 007,873,536 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 7.pub

[2013.02.17 09:02:20 | 003,492,002 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Aberthamy 2-12 002.JPG

[2013.02.17 09:02:12 | 004,251,817 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Aberthamy 2-12 001.JPG

[2013.02.16 17:49:37 | 012,364,800 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 6.pub

[2013.02.15 20:51:55 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts

[2013.02.15 20:37:44 | 005,033,715 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop\ComboFix.exe

[2013.02.15 18:18:52 | 010,979,328 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 5.pub

[2013.02.15 17:54:56 | 009,559,040 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 4.pub

[2013.02.15 17:49:12 | 010,498,048 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 3.pub

[2013.02.15 12:24:26 | 009,718,272 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 2.pub

[2013.02.14 22:20:09 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop\OTL.exe

[2013.02.14 21:30:55 | 009,331,712 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 1.pub

[2013.02.14 19:03:54 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk

[2013.02.14 06:30:55 | 000,344,216 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2013.02.13 23:32:07 | 000,516,078 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat

[2013.02.13 23:32:07 | 000,492,922 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2013.02.13 23:32:07 | 000,100,240 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat

[2013.02.13 23:32:07 | 000,083,378 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2013.02.05 18:07:00 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job

[2013.02.01 23:12:26 | 000,000,036 | ---- | M] () -- C:\WINDOWS\phd2dll.INI

[2013.01.30 18:14:06 | 000,000,504 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\MA6.INI

[2013.01.30 18:13:41 | 000,000,147 | ---- | M] () -- C:\WINDOWS\masoft.dat

[2013.01.30 18:13:25 | 000,000,510 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\mag33.ini

[2013.01.28 20:23:15 | 000,124,928 | ---- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2013.01.28 18:06:12 | 000,000,916 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\NAVIGON Fresh.lnk

[2013.01.28 18:05:24 | 022,155,536 | ---- | M] (NAVIGON AG) -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\NAVIGON_Fresh_setup.exe

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2013.02.18 20:35:05 | 000,587,671 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Desktop\adwcleaner0.exe

[2013.02.18 20:12:00 | 000,001,804 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Adobe Reader XI.lnk

[2013.02.18 20:12:00 | 000,001,714 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader XI.lnk

[2013.02.18 20:02:34 | 000,000,884 | ---- | C] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job

[2013.02.18 17:34:43 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk

[2013.02.17 10:21:59 | 007,873,536 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 7.pub

[2013.02.17 09:02:19 | 003,492,002 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Aberthamy 2-12 002.JPG

[2013.02.17 09:02:11 | 004,251,817 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Aberthamy 2-12 001.JPG

[2013.02.16 17:49:36 | 012,364,800 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 6.pub

[2013.02.15 20:45:24 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe

[2013.02.15 20:45:24 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe

[2013.02.15 20:45:24 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe

[2013.02.15 20:45:24 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe

[2013.02.15 20:45:24 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

[2013.02.15 18:18:52 | 010,979,328 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 5.pub

[2013.02.15 17:54:56 | 009,559,040 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 4.pub

[2013.02.15 17:49:11 | 010,498,048 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 3.pub

[2013.02.15 12:24:26 | 009,718,272 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 2.pub

[2013.02.14 21:30:55 | 009,331,712 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Eigene Dateien\Abertamy 1.pub

[2013.02.14 19:03:54 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Malwarebytes Anti-Malware.lnk

[2013.01.30 18:14:06 | 000,000,504 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\MA6.INI

[2013.01.28 18:06:12 | 000,000,916 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\NAVIGON Fresh.lnk

[2012.12.08 05:49:26 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat

[2012.11.29 21:35:25 | 000,000,221 | ---- | C] () -- C:\WINDOWS\NCLogConfig.ini

[2012.06.16 16:27:06 | 000,000,510 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\mag33.ini

[2012.06.16 16:22:55 | 000,000,147 | ---- | C] () -- C:\WINDOWS\masoft.dat

[2012.05.08 15:14:11 | 000,000,196 | ---- | C] () -- C:\WINDOWS\A35W.INI

[2012.02.16 13:21:42 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll

[2011.09.18 11:17:38 | 000,280,276 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb1.bin

[2011.09.18 11:17:38 | 000,280,276 | ---- | C] () -- C:\WINDOWS\System32\nvdrsdb0.bin

[2011.09.18 11:17:38 | 000,000,001 | ---- | C] () -- C:\WINDOWS\System32\nvdrssel.bin

[2011.09.18 11:17:16 | 002,128,778 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data

[2009.10.31 10:17:27 | 000,124,928 | ---- | C] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

 
 ========== ZeroAccess Check ==========

 

[2012.12.29 13:52:31 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Both

 
 ========== LOP Check ==========

 

[2010.05.31 09:24:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Canneverbe Limited

[2010.12.11 20:50:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData

[2012.06.11 13:29:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GARMIN

[2013.02.18 21:15:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HitmanPro

[2010.05.19 17:56:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NETGEAR

[2010.11.21 16:00:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VManager

[2010.05.31 09:24:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Canneverbe Limited

[2011.09.25 16:05:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Foxit Software

[2013.02.18 18:09:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\FUJIFILM

[2010.09.05 03:40:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Gahiek

[2012.12.29 14:04:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\GARMIN

[2012.12.04 17:49:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Image Zone Express

[2010.09.05 03:40:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Leyru

[2010.05.22 18:46:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Myycr

[2010.12.11 20:45:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\PIE

[2010.08.30 08:08:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Thunderbird

[2010.07.16 06:10:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Ukdy

[2010.03.25 17:46:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Vaimny

[2010.08.16 12:44:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Voefem

[2010.07.16 12:22:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\Anwendungsdaten\Ydaz

 
 ========== Purity Check ==========

 

 

 
 ========== Custom Scans ==========

 
 < %SYSTEMDRIVE%\*. >

[2013.02.18 21:07:14 | 000,000,000 | ---D | M] -- C:\Config.Msi

[2011.09.18 11:17:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen

[2013.02.18 20:02:57 | 000,000,000 | ---D | M] -- C:\downloads

[2012.12.29 15:10:52 | 000,000,000 | ---D | M] -- C:\Garmin

[2009.10.30 20:16:27 | 000,000,000 | R--D | M] -- C:\MSOCache

[2011.09.18 11:16:16 | 000,000,000 | ---D | M] -- C:\NVIDIA

[2009.11.04 14:14:10 | 000,000,000 | ---D | M] -- C:\Program Files

[2013.02.18 20:11:38 | 000,000,000 | R--D | M] -- C:\Programme

[2013.02.15 21:03:03 | 000,000,000 | ---D | M] -- C:\Qoobox

[2013.02.17 10:23:28 | 000,000,000 | -HSD | M] -- C:\RECYCLER

[2009.10.30 19:28:50 | 000,000,000 | -HSD | M] -- C:\System Volume Information

[2010.10.07 15:35:24 | 000,000,000 | ---D | M] -- C:\TEMP

[2012.12.29 14:03:36 | 000,000,000 | ---D | M] -- C:\WebUpdater

[2013.02.18 20:32:48 | 000,000,000 | ---D | M] -- C:\WINDOWS

 
 < %PROGRAMFILES%\*.exe >

Invalid Environment Variable: LOCALAPPDATA

 
 < %systemroot%\*. /mp /s >

 
 < C:\Windows\system32\*.tsp >

[2008.04.14 03:23:08 | 000,266,240 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\h323.tsp

[2008.04.14 03:23:08 | 000,029,696 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\hidphone.tsp

[2008.04.14 03:23:08 | 000,017,408 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\ipconf.tsp

[2008.04.14 03:23:08 | 000,033,280 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\kmddsp.tsp

[2008.04.14 03:23:08 | 000,057,344 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\ndptsp.tsp

[2008.04.14 03:23:08 | 000,076,800 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\remotesp.tsp

[2008.04.14 03:23:08 | 000,207,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\system32\unimdm.tsp

[2 C:\Windows\system32\*.tmp files -> C:\Windows\system32\*.tmp -> ]

[2009.10.30 19:23:58 | 000,000,065 | RH-- | C] () -- C:\WINDOWS\Tasks\desktop.ini

[2009.10.30 19:28:46 | 000,000,006 | -H-- | C] () -- C:\WINDOWS\Tasks\SA.DAT

[2010.01.16 10:37:34 | 000,001,090 | ---- | C] () -- C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job

[2010.01.16 10:37:34 | 000,001,094 | ---- | C] () -- C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job

[2011.05.30 14:37:51 | 000,000,276 | ---- | C] () -- C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

[2013.02.18 20:02:34 | 000,000,884 | ---- | C] () -- C:\WINDOWS\Tasks\Adobe Flash Player Updater.job

 
 < MD5 for: AGP440.SYS  >

[2006.02.28 13:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys

[2010.03.14 08:15:37 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys

[2010.03.14 08:15:37 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys

[2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\erdnt\cache\agp440.sys

[2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys

[2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\dllcache\agp440.sys

[2008.04.13 19:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys

 
 < MD5 for: ATAPI.SYS  >

[2006.02.28 13:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys

[2010.03.14 08:15:37 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys

[2010.03.14 08:15:37 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys

[2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\erdnt\cache\atapi.sys

[2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys

[2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\dllcache\atapi.sys

[2008.04.13 19:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys

[2006.02.28 13:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys

[2006.02.28 13:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys

[2006.02.28 13:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\i386\atapi.sys

 
 < MD5 for: EVENTLOG.DLL  >

[2008.04.14 03:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\erdnt\cache\eventlog.dll

[2008.04.14 03:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll

[2008.04.14 03:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll

[2006.02.28 13:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll

 
 < MD5 for: EXPLORER.EXE  >

[2006.02.28 13:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe

[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\erdnt\cache\explorer.exe

[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe

[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe

 
 < MD5 for: NETLOGON.DLL  >

[2008.04.14 03:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\erdnt\cache\netlogon.dll

[2008.04.14 03:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll

[2008.04.14 03:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll

[2006.02.28 13:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB968389\SP2QFE\netlogon.dll

[2009.02.06 19:46:10 | 000,408,064 | ---- | M] (Microsoft Corporation) MD5=ED4BBAD725A21632FB205452749FC8F5 -- C:\WINDOWS\$hf_mig$\KB975467\SP2QFE\netlogon.dll

 
 < MD5 for: NVATA.SYS  >

[2005.08.18 10:52:06 | 000,093,568 | R--- | M] (NVIDIA Corporation) MD5=0344AA9113DC16EEC379F4652020849D -- C:\WINDOWS\system32\drivers\nvata.sys

 
 < MD5 for: SCECLI.DLL  >

[2008.04.14 03:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\erdnt\cache\scecli.dll

[2008.04.14 03:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll

[2008.04.14 03:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll

[2006.02.28 13:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll

 
 < MD5 for: USER32.DLL  >

[2006.02.28 13:00:00 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll

[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\erdnt\cache\user32.dll

[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll

[2008.04.14 03:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll

 
 < MD5 for: USERINIT.EXE  >

[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\erdnt\cache\userinit.exe

[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe

[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe

[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe

[2006.02.28 13:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe

 
 < MD5 for: WINLOGON.EXE  >

[2012.12.14 16:49:28 | 000,216,424 | ---- | M] () MD5=22101A85B3CA2FE2BE05FE9A61A7A83D -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe

[2006.02.28 13:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe

[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\erdnt\cache\winlogon.exe

[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe

[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe

 
 < MD5 for: WS2IFSL.SYS  >

[2006.02.28 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys

[2006.02.28 13:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys

 
 < %systemroot%\system32\drivers\*.sys /lockedfiles >

 
 < %systemroot%\System32\config\*.sav >

[2009.10.30 20:13:43 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav

[2009.10.30 20:13:43 | 000,663,552 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav

[2009.10.30 20:13:43 | 000,430,080 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav

 
 < %systemroot%\system32\*.dll /lockedfiles >

[2 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

 
 < %USERPROFILE%\*.* >

[2013.02.18 21:49:37 | 009,699,328 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\NTUSER.DAT

[2013.02.18 21:58:02 | 000,001,024 | -H-- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\ntuser.dat.LOG

[2013.02.18 21:49:35 | 000,000,190 | -HS- | M] () -- C:\Dokumente und Einstellungen\xxxxxxxxxxxx\ntuser.ini

 
 < %USERPROFILE%\Local Settings\Temp\*.exe >

 
 < %USERPROFILE%\Local Settings\Temp\*.dll >

 
 < %USERPROFILE%\Application Data\*.exe >

 
 < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2013.01.04 11:09:09 | 001,867,392 | ---- | M] (Microsoft Corporation)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

 
 <       >
 

< End of report >

--- --- ---

Hi
otl fix

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

:OTL

:files

:Commands

[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Neustarten, teste bitte wie der PC läuft, auch browser testen, auf ungewollte Toolbars, umleitungen etc.
auch sonstige Programme testen.

fix wurde ausgeführt, hier das log file:

Zitat:

All processes killed
========== OTL ==========
========== FILES ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: xxxxxxx
->Temp folder emptied: 64267516 bytes
->Temporary Internet Files folder emptied: 115225 bytes
->FireFox cache emptied: 112689188 bytes
->Flash cache emptied: 1406 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33438 bytes
->FireFox cache emptied: 5848421 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2148906 bytes
%systemroot%\System32 .tmp files removed: 3087 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2730820 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 179,00 mb

OTL by OldTimer - Version 3.2.69.0 log created on 02182013_221921

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

Der PC funktioniert ganz normal, Programme starten problemlos. Browser geht auch ganz normal, keine Toolbars oder Umleitungen vorhanden.

Hi
ok
OTL öffnen bereinigen, PC startet neu, Remover werden gelöscht.
Lösche übrig gebliebene Remover, Logs, Setups, leere den Papierkorb.
Sichere den PC ab nach der Anleitung die ich schon für den anderen gepostet hab, außer dass du hier den Abschnitt XP abarbeitest.