Trojaner-Board - Ich brauche Unterstützung bei der Bekämpfung von "System Repair"

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Ich brauche Unterstützung bei der Bekämpfung von "System Repair" (https://www.trojaner-board.de/130770-brauche-unterstuetzung-bekaempfung-system-repair.html)

Ich brauche Unterstützung bei der Bekämpfung von "System Repair"

Hallo,

ich habe seit vorhin Probleme mit dem Trojaner "System Repair". Zum Glück habe ich noch Internetzugang und über google bin ich auf das Trojaner-Board aufmerksam geworden.

Ich habe jetzt Malwarebytes laufen lassen und hatte einen Befund auf Laufwerk C: und sechs unter "HCKU"

Wie machen wir jetzt weiter?

Vielen Dank schon mal im Voraus und viele Grüße

Jochen

:hallo:

Bitte das Malwarebytes-Logfile posten!
(Reiter Logdateien)

dann:

Systemscan mit OTL (bebilderte Anleitung)

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop ( falls noch nicht vorhanden)- Doppelklick auf die OTL.exe

Vista und Win7 User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Wähle Scanne Alle Benuzer
Oben findest Du ein Kästchen mit Ausgabe. Wähle bitte Minimale Ausgabe
Unter Extra Registrierung, wähle bitte Benutze SafeList
Klicke nun auf Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

Hallo t'john, vielen Dank für deine Unterstützung. Hier schon mal das Malwarebytes-Logfile von gestern Abend:

Code:

Malwarebytes Anti-Malware (Test) 1.70.0.1100

www.malwarebytes.org
 

Datenbank Version: v2013.02.07.09
 

Windows Vista Service Pack 1 x86 NTFS

Internet Explorer 8.0.6001.19088

Jochen :: JOCHEN-PC [Administrator]
 

Schutz: Aktiviert
 

07.02.2013 21:45:52

MBAM-log-2013-02-07 (23-54-26).txt
 

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)

Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM

Deaktivierte Suchlaufeinstellungen: P2P

Durchsuchte Objekte: 397720

Laufzeit: 1 Stunde(n), 47 Minute(n), 57 Sekunde(n)
 

Infizierte Speicherprozesse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte: 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer|WINID (Malware.Trace) -> Daten: 1CB4554888034C0 -> Keine Aktion durchgeführt.
 

Infizierte Dateiobjekte der Registrierung: 5

HKCU\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

HKCU\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

HKCU\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Keine Aktion durchgeführt.
 

Infizierte Verzeichnisse: 0

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien: 1

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\78892217-68270606 (Spyware.Passwords.ED) -> Keine Aktion durchgeführt.
 

(Ende)

Gestern Abend ist mein Vista im normalen Modus noch ausgestigen, kann man auch im abgesicherten Modus weiterarbeiten?

OTL kommt heute Abend, die Pflicht ruft leider!

Viele Grüße, Jochen

Hallo, hier die beiden Logfiles:

Code:

OTL logfile created on: 08.02.2013 18:57:38 - Run 1

OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Jochen\Desktop

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.19088)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,99 Gb Total Physical Memory | 2,52 Gb Available Physical Memory | 84,17% Memory free

6,18 Gb Paging File | 5,88 Gb Available in Paging File | 95,00% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 144,04 Gb Total Space | 85,94 Gb Free Space | 59,66% Space Free | Partition Type: NTFS

Drive D: | 298,09 Gb Total Space | 281,55 Gb Free Space | 94,45% Space Free | Partition Type: NTFS

Drive E: | 140,50 Gb Total Space | 116,87 Gb Free Space | 83,18% Space Free | Partition Type: NTFS

 

Computer Name: JOCHEN-PC | User Name: Jochen | Logged in as Administrator.

Boot Mode: SafeMode with Networking | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Processes (SafeList) ==========

 

PRC - C:\Users\Jochen\Desktop\OTL.exe (OldTimer Tools)

PRC - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)

PRC - C:\Windows\explorer.exe (Microsoft Corporation)

 

 
 ========== Modules (No Company Name) ==========

 

 
 ========== Services (SafeList) ==========

 

SRV - (SessionLauncher) -- C:\Users\Jochen\AppData\Local\Temp\DX9\SessionLauncher.exe File not found

SRV - (Roxio Upnp Server 10) -- D:\Program Files\Roxio\Digital Home 10\RoxioUpnpService10.exe File not found

SRV - (Roxio UPnP Renderer 10) -- D:\Program Files\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe File not found

SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)

SRV - (SkypeUpdate) -- C:\Programme\Skype\Updater\Updater.exe (Skype Technologies)

SRV - (MBAMService) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)

SRV - (MBAMScheduler) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe (Malwarebytes Corporation)

SRV - (avast! Antivirus) -- C:\Programme\AVAST Software\Avast\AvastSvc.exe (AVAST Software)

SRV - (McComponentHostService) -- C:\Programme\McAfee Security Scan\3.0.313\McCHSvc.exe (McAfee, Inc.)

SRV - (Netzmanager Service) -- C:\Programme\Netzmanager\NMInfraIS2\Netzmanager_Service.exe (Deutsche Telekom AG)

SRV - (AntiVirSchedulerService) -- C:\Programme\Avira\AntiVir Desktop\sched.exe (Avira Operations GmbH & Co. KG)

SRV - (AntiVirService) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe (Avira Operations GmbH & Co. KG)

SRV - (odserv) -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)

SRV - (IGBASVC) -- C:\Programme\Acer\Acer Bio Protection\BASVC.exe ()

SRV - (CVPND) -- C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (Cisco Systems, Inc.)

SRV - (IAANTMON) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe (Intel Corporation)

SRV - (ETService) -- C:\Programme\Acer\Empowering Technology\Service\ETService.exe ()

SRV - (eDataSecurity Service) -- C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe (Egis Incorporated)

SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)

SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)

SRV - (CLHNService) -- C:\Programme\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\CLHNService.exe ()

SRV - (RS_Service) -- C:\Programme\Acer\Acer VCM\RS_Service.exe (Acer Incorporated)

SRV - (MobilityService) -- C:\ACER\Mobility Center\MobilityService.exe ()

SRV - (RoxLiveShare10) -- C:\Programme\Common Files\Roxio Shared\10.0\SharedCOM\RoxLiveShare10.exe (Sonic Solutions)

SRV - (RoxWatch10) -- C:\Programme\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatch10.exe (Sonic Solutions)

SRV - (RoxMediaDB10) -- C:\Programme\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe (Sonic Solutions)

SRV - (ose) -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE (Microsoft Corporation)

 

 
 ========== Driver Services (SafeList) ==========

 

DRV - (NwlnkFwd) -- system32\DRIVERS\nwlnkfwd.sys File not found

DRV - (NwlnkFlt) -- system32\DRIVERS\nwlnkflt.sys File not found

DRV - (IpInIp) -- system32\DRIVERS\ipinip.sys File not found

DRV - (MBAMSwissArmy) -- C:\Windows\System32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)

DRV - (MBAMProtector) -- C:\Windows\System32\drivers\mbam.sys (Malwarebytes Corporation)

DRV - (aswSnx) -- C:\Windows\System32\drivers\aswSnx.sys (AVAST Software)

DRV - (aswSP) -- C:\Windows\System32\drivers\aswSP.sys (AVAST Software)

DRV - (aswTdi) -- C:\Windows\System32\drivers\aswTdi.sys (AVAST Software)

DRV - (AswRdr) -- C:\Windows\System32\drivers\aswRdr.sys (AVAST Software)

DRV - (aswMonFlt) -- C:\Windows\System32\drivers\aswMonFlt.sys (AVAST Software)

DRV - (aswFsBlk) -- C:\Windows\System32\drivers\aswFsBlk.sys (AVAST Software)

DRV - (avipbb) -- C:\Windows\System32\drivers\avipbb.sys (Avira GmbH)

DRV - (avgntflt) -- C:\Windows\System32\drivers\avgntflt.sys (Avira GmbH)

DRV - (avkmgr) -- C:\Windows\System32\drivers\avkmgr.sys (Avira GmbH)

DRV - (ssudmdm) -- C:\Windows\System32\drivers\ssudmdm.sys (DEVGURU Co., LTD.(www.devguru.co.kr))

DRV - (dg_ssudbus) -- C:\Windows\System32\drivers\ssudbus.sys (DEVGURU Co., LTD.(www.devguru.co.kr))

DRV - (TelekomNM3) -- C:\Programme\Netzmanager\NMInfraIS2\Driver\TelekomNM3.sys (Deutsche Telekom AG AG, Marmiko IT-Solutions GmbH)

DRV - (ssmdrv) -- C:\Windows\System32\drivers\ssmdrv.sys (Avira GmbH)

DRV - (AlfaFF) -- C:\Windows\System32\drivers\AlfaFF.sys (Alfa Corporation)

DRV - (L1E) -- C:\Windows\System32\drivers\L1E60x86.sys (Atheros Communications, Inc.)

DRV - (CVPNDRVA) -- C:\Windows\System32\drivers\CVPNDRVA.sys (Cisco Systems, Inc.)

DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)

DRV - ({49DE1C67-83F8-4102-99E0-C16DCC7EEC796}) -- C:\Programme\Acer Arcade Deluxe\PlayMovie\000.fcl (Cyberlink Corp.)

DRV - (NVHDA) -- C:\Windows\System32\drivers\nvhda32v.sys (NVIDIA Corporation)

DRV - (NETw5v32) -- C:\Windows\System32\drivers\NETw5v32.sys (Intel Corporation)

DRV - (DNE) -- C:\Windows\System32\drivers\dne2000.sys (Deterministic Networks, Inc.)

DRV - (WinUSB) -- C:\Windows\System32\drivers\winusb.sys (Microsoft Corporation)

DRV - (NTIPPKernel) -- C:\Programme\Acer Arcade Deluxe\HomeMedia\Kernel\DMP\NTIPPKernel.sys (Cyberlink Corp.)

DRV - (XAudio) -- C:\Windows\System32\drivers\XAudio.sys (Conexant Systems, Inc.)

DRV - (RxFilter) -- C:\Windows\System32\drivers\RxFilter.sys (Sonic Solutions)

DRV - (winbondcir) -- C:\Windows\System32\drivers\winbondcir.sys (Winbond Electronics Corporation)

DRV - (int15) -- C:\Windows\System32\drivers\int15.sys ()

DRV - (CVirtA) -- C:\Windows\System32\drivers\CVirtA.sys (Cisco Systems, Inc.)

DRV - (FWLANUSB) -- C:\Windows\System32\drivers\fwlanusb.sys (AVM GmbH)

 

 
 ========== Standard Registry (SafeList) ==========

 

 
 ========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://de.intl.acer.yahoo.com

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.intl.acer.yahoo.com

IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

IE - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0908&m=aspire_6930g

IE - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://global.acer.com [binary data]

IE - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1

IE - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ask.com?o=10148&l=dis&tb=AVR-3

IE - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1

IE - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)

IE - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}

IE - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC

IE - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW

IE - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\..\SearchScopes\{6813D7E7-4A22-468D-ABB3-FB2D6C11B0C8}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10395&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=^ABT&apn_dtid=^YYYYYY^YY^DE&apn_uid=1DF8FCDF-0B64-438C-9663-1A43457EEC75&apn_sauid=0C90B906-C3DC-40F3-98FA-4CDAD0D5A4FC

IE - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 
 ========== FireFox ==========

 

FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)

FF - HKLM\Software\MozillaPlugins\@mcafee.com/McAfeeMssPlugin: C:\Program Files\McAfee Security Scan\3.0.313\npMcAfeeMss.dll (McAfee, Inc.)

FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)

FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.1: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)

 

 

 
 ========== Chrome  ==========

 

CHR - homepage: hxxp://www.google.com

CHR - homepage: hxxp://www.google.com

CHR - Extension: Docs = C:\Users\Jochen\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake\0.0.0.6_0\

CHR - Extension: Google Drive = C:\Users\Jochen\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf\6.2_0\

CHR - Extension: YouTube = C:\Users\Jochen\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\

CHR - Extension: Google-Suche = C:\Users\Jochen\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\

CHR - Extension: avast! WebRep = C:\Users\Jochen\AppData\Local\Google\Chrome\User Data\Default\Extensions\icmlaeflemplmjndnaapfdbbnpncnbda\7.0.1474_0\

CHR - Extension: Google Mail = C:\Users\Jochen\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\

 

O1 HOSTS File: ([2006.09.18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1       localhost

O1 - Hosts: ::1             localhost

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.

O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

O2 - BHO: (MSS+ Identifier) - {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Programme\McAfee Security Scan\3.0.313\McAfeeMSS_IE.dll (McAfee, Inc.)

O2 - BHO: (ShowBarObj Class) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll (Egis)

O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software)

O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\Programme\Google\GoogleToolbar2.dll (Google Germany GmbH)

O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.415.1646\swg.dll (Google Inc.)

O2 - BHO: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar2.dll (Google Germany GmbH)

O3 - HKLM\..\Toolbar: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll (Egis Incorporated.)

O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll (AVAST Software)

O3 - HKLM\..\Toolbar: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)

O3 - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\..\Toolbar\ShellBrowser: (Acer eDataSecurity Management) - {5CBE3B7C-1E47-477E-A7DD-396DB0476E29} - C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll (Egis Incorporated.)

O3 - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\Programme\Google\GoogleToolbar2.dll (Google Germany GmbH)

O3 - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000\..\Toolbar\WebBrowser: (Ask Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (Ask)

O4 - HKLM..\Run: []  File not found

O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName})

O4 - HKLM..\Run: [ArcadeDeluxeAgent] C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe (CyberLink Corp.)

O4 - HKLM..\Run: [avast] C:\Program Files\AVAST Software\Avast\avastUI.exe (AVAST Software)

O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)

O4 - HKLM..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLanMini.exe (AVM Berlin GmbH)

O4 - HKLM..\Run: [CLMLServer] C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe (CyberLink)

O4 - HKLM..\Run: [eAudio] C:\Program Files\Acer\Empowering Technology\eAudio\eAudio.exe (Acer Incorporated)

O4 - HKLM..\Run: [eDataSecurity Loader] C:\Programme\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe (Egis Incorporated)

O4 - HKLM..\Run: [ePower_DMC] C:\Programme\Acer\Empowering Technology\ePower\ePower_DMC.exe (Acer Inc.)

O4 - HKLM..\Run: [eRecoveryService]  File not found

O4 - HKLM..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe (Intel Corporation)

O4 - HKLM..\Run: [KiesTrayAgent] C:\Programme\Samsung\Kies\KiesTrayAgent.exe (Samsung Electronics Co., Ltd.)

O4 - HKLM..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE (Dritek System Inc.)

O4 - HKLM..\Run: [NvCplDaemon] C:\Windows\System32\NvCpl.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [NvMediaCenter] C:\Windows\System32\NvMcTray.dll (NVIDIA Corporation)

O4 - HKLM..\Run: [PDFPrint] C:\Programme\PDF24\pdf24.exe (Geek Software GmbH)

O4 - HKLM..\Run: [PlayMovie] C:\Program Files\Acer Arcade Deluxe\PlayMovie\PMVService.exe (Acer Corp.)

O4 - HKLM..\Run: [RoxWatchTray] C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxWatchTray10.exe (Sonic Solutions)

O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)

O4 - HKLM..\Run: [WarReg_PopUp] C:\Programme\Acer\WR_PopUp\WarReg_PopUp.exe (Acer Incorporated)

O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)

O4 - HKLM..\Run: [ZPdtWzdVitaKey MC3000] C:\Program Files\Acer\Acer Bio Protection\PdtWzd.exe (Arachnoid Biometrics Identification Group Corp.)

O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)

O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)

O4 - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000..\Run: [bkdshRyVNcu.exe] C:\ProgramData\bkdshRyVNcu.exe ()

O4 - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000..\Run: [KiesHelper] C:\Program Files\Samsung\Kies\KiesHelper.exe (Samsung)

O4 - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000..\Run: [KiesPDLR] C:\Programme\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe ()

O4 - HKLM..\RunOnce: [Malwarebytes Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)

O4 - Startup: C:\Users\Jochen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Netzmanager.lnk = C:\Programme\Netzmanager\netzmanager.exe (Deutsche Telekom AG)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableCAD = 1

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - C:\Programme\Microsoft Office\Office10\EXCEL.EXE (Microsoft Corporation)

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)

O9 - Extra Button: Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Programme\Acer\Acer Bio Protection\PwdBank.exe ()

O9 - Extra 'Tools' menuitem : Quick-Launching Area - {10954C80-4F0F-11d3-B17C-00C0DFE39736} - C:\Programme\Acer\Acer Bio Protection\PwdBank.exe ()

O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)

O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)

O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL File not found

O13 - gopher Prefix: missing

O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab (Java Plug-in 1.6.0_12)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 192.168.2.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0480E684-9782-4D5C-B8A6-947DFB61FB92}: DhcpNameServer = 192.168.0.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{36FA15F5-4D34-4618-957F-140232186C3B}: DhcpNameServer = 192.168.2.1 192.168.2.1

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{463FB10B-4FC8-44CD-824A-096C81AA3247}: DhcpNameServer = 192.168.2.1 192.168.2.1

O18 - Protocol\Handler\cdo {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Programme\Common Files\microsoft shared\Web Folders\PKMCDO.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)

O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - c:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Common Files\microsoft shared\Web Components\10\OWC10.DLL (Microsoft Corporation)

O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Common Files\microsoft shared\Web Components\11\OWC11.DLL (Microsoft Corporation)

O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)

O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)

O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)

O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)

O20 - Winlogon\Notify\AWinNotifyVitaKey MC3000: DllName - (C:\Program Files\Acer\Acer Bio Protection\WinNotify.dll) - C:\Programme\Acer\Acer Bio Protection\WinNotify.dll (Arachnoid Biometrics Identification Group Corp.)

O20 - Winlogon\Notify\spba: DllName - (C:\Program Files\Common Files\SPBA\homefus2.dll) - C:\Programme\Common Files\SPBA\homefus2.dll (UPEK Inc.)

O24 - Desktop WallPaper: C:\Users\Jochen\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg

O24 - Desktop BackupWallPaper: C:\Users\Jochen\AppData\Roaming\Microsoft\Windows Photo Gallery\Hintergrundbild der Windows-Fotogalerie.jpg

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]

O33 - MountPoints2\{11c703ee-4fa9-11de-a90b-001e68dc4a1c}\Shell - "" = AutoRun

O33 - MountPoints2\{11c703ee-4fa9-11de-a90b-001e68dc4a1c}\Shell\AutoRun\command - "" = I:\LaunchU3.exe -a

O33 - MountPoints2\{4c7702ea-cc18-11e0-ad9c-001e68dc4a1c}\Shell - "" = AutoRun

O33 - MountPoints2\{4c7702ea-cc18-11e0-ad9c-001e68dc4a1c}\Shell\AutoRun\command - "" = F:\pushinst.exe

O34 - HKLM BootExecute: (autocheck autochk *)

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)

O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

 
 ========== Files/Folders - Created Within 30 Days ==========

 

[2013.02.08 18:56:26 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Jochen\Desktop\OTL.exe

[2013.02.07 21:43:35 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys

[2013.02.07 21:43:35 | 000,000,000 | ---D | C] -- C:\Users\Jochen\AppData\Roaming\Malwarebytes

[2013.02.07 21:43:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware

[2013.02.07 21:43:26 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes

[2013.02.07 21:43:25 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys

[2013.02.07 21:43:25 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware

[2013.02.07 21:20:15 | 004,732,416 | ---- | C] (AVAST Software) -- C:\Users\Jochen\Desktop\aswMBR.exe

[2013.02.07 21:13:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome

[2013.02.07 21:11:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\avast! Free Antivirus

[2013.02.07 21:11:10 | 000,361,032 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswSP.sys

[2013.02.07 21:11:10 | 000,021,256 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswFsBlk.sys

[2013.02.07 21:11:01 | 000,035,928 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswRdr.sys

[2013.02.07 21:11:00 | 000,054,232 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswTdi.sys

[2013.02.07 21:10:58 | 000,738,504 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswSnx.sys

[2013.02.07 21:10:51 | 000,058,680 | ---- | C] (AVAST Software) -- C:\Windows\System32\drivers\aswMonFlt.sys

[2013.02.07 21:10:20 | 000,041,224 | ---- | C] (AVAST Software) -- C:\Windows\avastSS.scr

[2013.02.07 21:10:19 | 000,227,648 | ---- | C] (AVAST Software) -- C:\Windows\System32\aswBoot.exe

[2013.02.07 21:09:59 | 000,000,000 | ---D | C] -- C:\ProgramData\AVAST Software

[2013.02.07 21:09:59 | 000,000,000 | ---D | C] -- C:\Program Files\AVAST Software

[2013.02.07 20:43:34 | 000,000,000 | ---D | C] -- C:\Users\Jochen\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Repair

[2013.02.03 16:04:19 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus

[2013.01.29 20:23:04 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype

[2013.01.29 20:23:03 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Skype

[2013.01.14 23:04:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF24

[9 C:\Users\Jochen\Desktop\*.tmp files -> C:\Users\Jochen\Desktop\*.tmp -> ]

[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]

 
 ========== Files - Modified Within 30 Days ==========

 

[2013.02.08 18:56:27 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Jochen\Desktop\OTL.exe

[2013.02.08 18:54:05 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat

[2013.02.08 07:15:39 | 000,673,596 | ---- | M] () -- C:\Windows\System32\perfh007.dat

[2013.02.08 07:15:39 | 000,633,790 | ---- | M] () -- C:\Windows\System32\perfh009.dat

[2013.02.08 07:15:39 | 000,145,650 | ---- | M] () -- C:\Windows\System32\perfc007.dat

[2013.02.08 07:15:39 | 000,119,354 | ---- | M] () -- C:\Windows\System32\perfc009.dat

[2013.02.08 06:53:12 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0

[2013.02.08 06:53:12 | 000,003,216 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0

[2013.02.08 00:17:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job

[2013.02.08 00:11:02 | 000,001,098 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

[2013.02.07 22:04:23 | 000,001,446 | ---- | M] () -- C:\Users\Jochen\Desktop\System Repair.lnk

[2013.02.07 21:44:35 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys

[2013.02.07 21:43:27 | 000,000,910 | ---- | M] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk

[2013.02.07 21:34:33 | 000,000,512 | ---- | M] () -- C:\Users\Jochen\Desktop\MBR.dat

[2013.02.07 21:20:16 | 004,732,416 | ---- | M] (AVAST Software) -- C:\Users\Jochen\Desktop\aswMBR.exe

[2013.02.07 21:13:10 | 000,001,975 | ---- | M] () -- C:\Users\Public\Desktop\Google Chrome.lnk

[2013.02.07 21:11:11 | 000,001,833 | ---- | M] () -- C:\Users\Public\Desktop\avast! Free Antivirus.lnk

[2013.02.07 21:10:51 | 000,002,577 | ---- | M] () -- C:\Windows\System32\config.nt

[2013.02.07 20:51:07 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job

[2013.02.07 20:33:08 | 000,000,160 | -H-- | M] () -- C:\ProgramData\-bkdshRyVNcur

[2013.02.07 20:33:08 | 000,000,152 | -H-- | M] () -- C:\ProgramData\-bkdshRyVNcu

[2013.02.07 20:33:05 | 000,000,088 | -H-- | M] () -- C:\ProgramData\bkdshRyVNcu

[2013.02.07 20:30:37 | 000,295,424 | -H-- | M] () -- C:\ProgramData\bkdshRyVNcu.exe

[2013.02.07 18:31:27 | 000,104,030 | -H-- | M] () -- C:\ProgramData\nvModes.001

[2013.02.07 18:31:26 | 000,000,000 | -H-- | M] () -- C:\Windows\System32\LogConfigTemp.xml

[2013.02.04 20:33:51 | 001,744,042 | -H-- | M] () -- C:\Users\Jochen\Desktop\539.JPG

[2013.02.03 16:04:19 | 000,001,915 | ---- | M] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk

[2013.01.13 22:18:49 | 001,323,541 | -H-- | M] () -- C:\Users\Jochen\Desktop\DSC_0451.jpg

[9 C:\Users\Jochen\Desktop\*.tmp files -> C:\Users\Jochen\Desktop\*.tmp -> ]

[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ]

 
 ========== Files Created - No Company Name ==========

 

[2013.02.07 21:43:27 | 000,000,910 | ---- | C] () -- C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk

[2013.02.07 21:34:33 | 000,000,512 | ---- | C] () -- C:\Users\Jochen\Desktop\MBR.dat

[2013.02.07 21:13:10 | 000,001,975 | ---- | C] () -- C:\Users\Public\Desktop\Google Chrome.lnk

[2013.02.07 21:11:11 | 000,001,833 | ---- | C] () -- C:\Users\Public\Desktop\avast! Free Antivirus.lnk

[2013.02.07 20:43:34 | 000,001,446 | ---- | C] () -- C:\Users\Jochen\Desktop\System Repair.lnk

[2013.02.07 20:33:08 | 000,000,160 | -H-- | C] () -- C:\ProgramData\-bkdshRyVNcur

[2013.02.07 20:33:08 | 000,000,152 | -H-- | C] () -- C:\ProgramData\-bkdshRyVNcu

[2013.02.07 20:33:05 | 000,000,088 | -H-- | C] () -- C:\ProgramData\bkdshRyVNcu

[2013.02.07 20:32:56 | 000,295,424 | -H-- | C] () -- C:\ProgramData\bkdshRyVNcu.exe

[2013.02.04 20:33:34 | 001,744,042 | -H-- | C] () -- C:\Users\Jochen\Desktop\539.JPG

[2013.01.13 22:18:45 | 001,323,541 | -H-- | C] () -- C:\Users\Jochen\Desktop\DSC_0451.jpg

[2012.08.25 12:09:44 | 000,004,216 | -H-- | C] () -- C:\Users\Jochen\AppData\Local\rx_audio.Cache

[2012.03.28 21:11:08 | 000,030,568 | -H-- | C] () -- C:\Windows\MusiccityDownload.exe

[2012.03.28 21:11:06 | 000,974,848 | -H-- | C] () -- C:\Windows\System32\cis-2.4.dll

[2012.03.28 21:11:06 | 000,081,920 | -H-- | C] () -- C:\Windows\System32\issacapi_bs-2.3.dll

[2012.03.28 21:11:06 | 000,065,536 | -H-- | C] () -- C:\Windows\System32\issacapi_pe-2.3.dll

[2012.03.28 21:11:06 | 000,057,344 | -H-- | C] () -- C:\Windows\System32\issacapi_se-2.3.dll

[2012.01.14 17:19:33 | 000,043,520 | -H-- | C] () -- C:\Windows\System32\CmdLineExt03.dll

[2011.08.21 18:12:08 | 000,097,312 | ---- | C] () -- C:\Windows\System32\drivers\Fwusb1b.bin

[2009.08.09 11:46:37 | 000,000,680 | -H-- | C] () -- C:\Users\Jochen\AppData\Local\d3d9caps.dat

[2009.05.25 17:46:47 | 000,000,144 | -H-- | C] () -- C:\Users\Jochen\AppData\Local\rx_image.Cache

[2008.10.30 14:56:38 | 000,026,624 | -H-- | C] () -- C:\Users\Jochen\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2008.10.21 14:16:00 | 000,104,030 | -H-- | C] () -- C:\ProgramData\nvModes.001

[2008.10.21 14:13:11 | 000,104,030 | -H-- | C] () -- C:\ProgramData\nvModes.dat

 
 ========== ZeroAccess Check ==========

 

[2006.11.02 13:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

 

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

"" = %SystemRoot%\system32\shell32.dll -- [2011.01.21 16:46:32 | 011,582,464 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Apartment

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]

"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.03.03 05:36:24 | 000,615,424 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Free

 

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.01.21 03:24:03 | 000,347,648 | ---- | M] (Microsoft Corporation)

"ThreadingModel" = Both

 
 ========== Alternate Data Streams ==========

 

@Alternate Data Stream - 99 bytes -> C:\ProgramData\Temp:FC420CE6

@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:9E22BBE8

@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:C95B63DA

@Alternate Data Stream - 111 bytes -> C:\ProgramData\Temp:8173A019

@Alternate Data Stream - 108 bytes -> C:\ProgramData\Temp:B623B5B8

@Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:4F636E25

@Alternate Data Stream - 101 bytes -> C:\ProgramData\Temp:8AB6C1D7
 

< End of report >

Code:

OTL Extras logfile created on: 08.02.2013 18:57:38 - Run 1

OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Jochen\Desktop

Windows Vista Home Premium Edition Service Pack 1 (Version = 6.0.6001) - Type = NTWorkstation

Internet Explorer (Version = 8.0.6001.19088)

Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

 

2,99 Gb Total Physical Memory | 2,52 Gb Available Physical Memory | 84,17% Memory free

6,18 Gb Paging File | 5,88 Gb Available in Paging File | 95,00% Paging File free

Paging file location(s): ?:\pagefile.sys [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files

Drive C: | 144,04 Gb Total Space | 85,94 Gb Free Space | 59,66% Space Free | Partition Type: NTFS

Drive D: | 298,09 Gb Total Space | 281,55 Gb Free Space | 94,45% Space Free | Partition Type: NTFS

Drive E: | 140,50 Gb Total Space | 116,87 Gb Free Space | 83,18% Space Free | Partition Type: NTFS

 

Computer Name: JOCHEN-PC | User Name: Jochen | Logged in as Administrator.

Boot Mode: SafeMode with Networking | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

 
 ========== Extra Registry (SafeList) ==========

 

 
 ========== File Associations ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]

.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)

.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)

.html [@ = ChromeHTML] -- C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)

 

[HKEY_USERS\S-1-5-21-2132821508-3261454821-3199800791-1000\SOFTWARE\Classes\<extension>]

.html [@ = ChromeHTML] -- Reg Error: Key error. File not found

 
 ========== Shell Spawning ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]

batfile [open] -- "%1" %*

cmdfile [open] -- "%1" %*

comfile [open] -- "%1" %*

cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)

exefile [open] -- "%1" %*

helpfile [open] -- Reg Error: Key error.

hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)

http [open] -- "C:\Program Files\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)

https [open] -- "C:\Program Files\Google\Chrome\Application\chrome.exe" -- "%1" (Google Inc.)

inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)

piffile [open] -- "%1" %*

regfile [merge] -- Reg Error: Key error.

scrfile [config] -- "%1"

scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l

scrfile [open] -- "%1" /S

txtfile [edit] -- Reg Error: Key error.

Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1

Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()

Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)

Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)

Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()

Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)

Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)

Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

 
 ========== Security Center Settings ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"cval" = 1

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiSpyware]

"DisableMonitoring" = 1

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]

"AntiVirusOverride" = 0

"AntiSpywareOverride" = 0

"FirewallOverride" = 0

"VistaSp1" = Reg Error: Unknown registry data type -- File not found

 
 ========== Firewall Settings ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

"EnableFirewall" = 1

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]

"EnableFirewall" = 1

"DisableNotifications" = 0

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]

"EnableFirewall" = 1

"DisableNotifications" = 0

 
 ========== Authorized Applications List ==========

 

 
 ========== Vista Active Open Ports Exception List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

"{0347B0FC-C63D-4A9A-B1DC-D76A25189E99}" = rport=138 | protocol=17 | dir=out | app=system | 

"{2039D4A0-7768-47BF-9481-4252A143C2CE}" = lport=445 | protocol=6 | dir=in | app=system | 

"{8242B912-9A31-45B5-AE4D-3B0CDFC6497E}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 

"{85E98862-EEB0-4C06-B947-5BB882D9D3C6}" = rport=445 | protocol=6 | dir=out | app=system | 

"{87C13F81-B26D-40DC-8E33-64630A3CD2C7}" = lport=137 | protocol=17 | dir=in | app=system | 

"{9A0CF0D9-10BA-4091-9F77-020542C910BD}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 

"{AA873999-2894-44A7-AD27-D4A4D9EE4551}" = lport=138 | protocol=17 | dir=in | app=system | 

"{AFCD6969-B407-4063-9A99-1A440B8D7230}" = lport=139 | protocol=6 | dir=in | app=system | 

"{B52A039F-1AE9-4346-8122-B193E634C798}" = rport=139 | protocol=6 | dir=out | app=system | 

"{B5EACF55-168B-41ED-ADCC-BF66D89646B6}" = rport=137 | protocol=17 | dir=out | app=system | 

 
 ========== Vista Active Application Exception List ==========

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

"{05C6AA01-F83A-471C-8AE2-2F220B8CD17B}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 

"{0667B802-921B-4E6B-B5DB-315764A53998}" = dir=in | app=c:\program files\acer arcade deluxe\playmovie\pmvservice.exe | 

"{18F0FD30-9158-4C00-A030-DACC3D4CA30E}" = protocol=6 | dir=in | app=c:\windows\system32\muzapp.exe | 

"{1A2461A7-9BEA-4F70-B4A7-4B7ACAFE0A00}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 

"{2BBC3EB7-EE27-4F0E-8566-4A5F16A65A66}" = protocol=17 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\schedulersvc.exe | 

"{3673E242-38DB-415C-81CD-F767E62534FE}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 

"{3C7C52CE-8C35-4A34-988E-56501A9AA3B4}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 

"{4E5EEC6B-519F-486C-B574-7F61190034A5}" = dir=in | app=c:\program files\acer arcade deluxe\acer arcade deluxe\acer arcade deluxe.exe | 

"{623B7CCB-AE57-41B0-98DA-3A84DD2A9ADE}" = dir=in | app=c:\program files\acer\acer vcm\vc.exe | 

"{7BD65B90-A3F1-4D8C-9E90-4999B8EBA804}" = protocol=6 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\backupsvc.exe | 

"{82B8D3BB-D7A9-4779-B170-3DF870E974B1}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 

"{839F0C94-816D-407E-8648-D02B33262130}" = protocol=17 | dir=in | app=c:\windows\system32\muzapp.exe | 

"{8A2CEBFC-678B-4C22-85AE-8A0D6759424D}" = dir=in | app=c:\program files\acer arcade deluxe\homemedia\homemedia.exe | 

"{8EED7948-7374-44CF-854E-0285B93A8153}" = dir=in | app=c:\program files\cyberlink\powerdirector\pdr.exe | 

"{8FFAD746-E2DD-4E8F-809C-DAFBB34BA6C3}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 

"{970E2153-184F-482B-9B86-B46EAE130CBB}" = protocol=6 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\schedulersvc.exe | 

"{9777EC70-3F9E-4066-BE52-315738CBC0E3}" = dir=in | app=c:\program files\acer arcade deluxe\playmovie\playmovie.exe | 

"{B3D45A7D-8AD2-4E2C-8D15-B27610520A8F}" = protocol=6 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\client\agentsvc.exe | 

"{BEEEEE1F-50B1-48DF-B05F-7ACE0E6D17B3}" = protocol=17 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\client\agentsvc.exe | 

"{D9277855-0A29-4403-87C3-88B0F208C0D7}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 

"{EEE2AFE3-9CB2-40AD-80E3-2DE1998F2534}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 

"{F379E883-67C7-49F2-8958-99E77B830FD4}" = protocol=17 | dir=in | app=c:\program files\newtech infosystems\nti backup now 5\backupsvc.exe | 

"{F868F848-5A6E-48FB-A1A4-E2DE20056CC6}" = dir=in | app=c:\program files\skype\phone\skype.exe | 

"{F911461C-6C39-4F4D-AF04-328B7245C303}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 

"TCP Query User{13BFD14E-FA08-4643-84D4-E705C821851B}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 

"TCP Query User{3552026C-0C2A-4A86-8A64-CF9944DE28E8}C:\windows\system32\taskeng.exe" = protocol=6 | dir=in | app=c:\windows\system32\taskeng.exe | 

"UDP Query User{1902E5F4-EE27-42F0-91BD-0C234E617DFB}C:\windows\system32\taskeng.exe" = protocol=17 | dir=in | app=c:\windows\system32\taskeng.exe | 

"UDP Query User{39723912-27A7-4446-A0D3-D96D69C67604}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 

 
 ========== HKEY_LOCAL_MACHINE Uninstall List ==========

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{047F790A-7A2A-4B6A-AD02-38092BA63DAC}" = Acer VCM

"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu

"{06F80017-8F98-4C94-B868-52358569FC32}" = Command & Conquer Generals

"{08E81ABD-79F7-49C2-881F-FD6CB0975693}" = Roxio Central Data

"{098122AB-C605-4853-B441-C0A4EB359B75}" = DirectXInstallService

"{10F498FF-5392-4DF3-8F73-FE172A9F3800}" = Winbond CIR Device Drivers

"{11316260-6666-467B-AC34-183FCB5D4335}" = Acer Mobility Center Plug-In

"{12EFA1A4-AC3B-443C-8143-237EDE760403}" = NTI Backup Now Standard

"{13D85C14-2B85-419F-AC41-C7F21E68B25D}" = Acer eSettings Management

"{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2

"{1868D906-4CAE-4B03-8944-E10284ED244C}" = S.W.I.N.E.

"{1B683082-8791-4D00-8ADE-6C8986FCCC68}" = Roxio CinePlayer

"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148

"{1F54DAFA-9261-4A62-B59D-6C9F26B48FE4}" = Roxio Central Tools

"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer

"{2413930C-8309-47A6-BC61-5EF27A4222BC}" = NTI Media Maker 8

"{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = Acer Arcade Deluxe

"{26A24AE4-039D-4CA4-87B4-2F83216012FF}" = Java(TM) 6 Update 12

"{2934DCB0-F8EE-11E0-A4A5-B8AC6F97B88E}" = Google Earth Plug-in

"{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Roxio Update Manager

"{3108C217-BE83-42E4-AE9E-A56A2A92E549}" = Atheros Communications Inc.(R) AR8121/AR8113/AR8114 Gigabit/Fast Ethernet Driver

"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile

"{3E67A8DA-FE7B-4160-8465-F5571EA18753}" = Roxio Disc Gallery

"{43B74FAB-FB58-447D-8D3A-5F638AF36FD1}" = Netzmanager

"{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin

"{4E76FF7E-AEBA-4C87-B788-CD47E5425B9D}" = Skype™ 6.1

"{4EA2F95F-A537-4d17-9E7F-6B3FF8D9BBE3}" = Microsoft Works

"{51FB15F4-AD27-43BC-AD4B-DD0354FB6BBD}" = Cisco Systems VPN Client 5.0.04.0300

"{55FA89BD-21D3-42F7-9249-C94C0094A83C}" = Apple Software Update

"{57265292-228A-41FA-9AEC-4620CBCC2739}" = Acer eAudio Management

"{58E5844B-7CE2-413D-83D1-99294BF6C74F}" = Acer ePower Management

"{5A06423A-210C-49FB-950E-CB0EB8C5CEC7}" = Roxio BackOnTrack

"{5B63A470-9334-44D1-AF61-6CE2DB565AE9}" = Orion

"{60B2315F-680F-4EB3-B8DD-CCDC86A7CCAB}" = Roxio File Backup

"{65DA2EC9-0642-47E9-AAE2-B5267AA14D75}" = Activation Assistant for the 2007 Microsoft Office suites

"{67F478AE-BFBE-470D-A8A6-04E1490600C5}" = Roxio WinOnCD 10

"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable

"{73A4F29F-31AC-4EBD-AA1B-0CC5F18C8F83}" = Roxio Central Audio

"{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies

"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053

"{79DD56FC-DB8B-47F5-9C80-78B62E05F9BC}" = Acer ScreenSaver

"{7F811A54-5A09-4579-90E1-C93498E230D9}" = Acer eRecovery Management

"{81A6F461-0DBA-4F12-B56F-0E977EC10576}_is1" = PDF24 Creator 5.2.0

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-110111700}" = Zuma Deluxe

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-11029123}" = Bricks of Egypt

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-110322783}" = Big Kahuna Reef

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-110411970}" = Chuzzle

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111118433}" = Mystery Case Files - Huntsville

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111199750}" = Cake Mania

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111252743}" = Mahjong Escape Ancient China

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111543617}" = Backspin Billiards

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111692950}" = Mahjongg Artifacts

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111771833}" = Jewel Quest Solitaire

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111796363}" = Mystery Solitaire - Secret Island

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-111872660}" = Diner Dash Flo on the Go

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-112531267}" = Chicken Invaders 3

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-112615863}" = Agatha Christie Death on the Nile

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-112920767}" = Alice Greenfingers

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-113009953}" = Turbo Pizza

"{82C36957-D2B8-4EF2-B88C-5FA03AA848C7-113080210}" = Azada

"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570

"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar

"{8BCD7AE7-F713-4D50-BAB9-7839B9386870}" = ImageShack Uploader 2.2.0

"{8D337F77-BE7F-41A2-A7CB-D5A63FD7049B}" = Roxio CinePlayer Decoder Pack

"{8F1B6239-FEA0-450A-A950-B05276CE177C}" = Acer Empowering Technology

"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003

"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007

"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007

"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007

"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007

"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)

"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007

"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)

"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007

"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)

"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007

"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)

"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007

"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007

"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007

"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In

"{90280407-6000-11D3-8CFE-0050048383C9}" = Microsoft Office XP Professional mit FrontPage

"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel® Matrix Storage Manager

"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007

"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)

"{9720C029-0C2C-4D1E-9DE0-E89971C4C8C7}" = Silent Hunter III

"{9A9A1828-31D1-4590-A99F-022B7237AFAE}" = Roxio MediaShare

"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161

"{A5633652-3795-4829-BB0B-644F0279E279}" = Acer eDataSecurity Management

"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper

"{AC76BA86-7AD7-1033-7B44-A83000000003}" = Adobe Reader 8.3.1

"{B6A26DE5-F2B5-4D58-9570-4FC760E00FCD}" = Roxio Central Copy

"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call

"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector

"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1

"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1

"{CE386A4E-D0DA-4208-8235-BCE43275C694}" = LightScribe  1.4.142.1

"{D0795B21-0CDA-4a92-AB9E-6E92D8111E44}" = SAMSUNG USB Driver for Mobile Phones

"{D36DD326-7280-11D8-97C8-000129760CBE}" = PhotoNow!

"{DBEA1034-5882-4A88-8033-81C4EF0CFA29}" = Google Toolbar for Internet Explorer

"{DC24971E-1946-445D-8A82-CE685433FA7D}" = Realtek USB 2.0 Card Reader

"{DD1DED37-2486-4F56-8F89-56AA814003F5}" = Acer Crystal Eye Webcam

"{E3E71D07-CD27-46CB-8448-16D4FB29AA13}" = Microsoft WSE 3.0 Runtime

"{EC877639-07AB-495C-BFD1-D63AF9140810}" = Roxio Activation Module

"{ECCD28B2-8798-4D16-8126-625D728294A1}" = SPBA 5.8

"{ED439A64-F018-4DD4-8BA5-328D85AB09AB}" = Roxio Central Core

"{F07B861C-72B9-40A4-8B1A-AAED4C06A7E8}" = QuickTime

"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219

"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver

"{F3E9C243-122E-4D6B-ACC1-E1FEC02F6CA1}" = Command and Conquer(TM) Generäle Die Stunde Null 

"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack

"{FDB46DE7-9045-47BB-970A-3E4ED5369E03}" = EMC 10 Content

"Acer Acer Bio Protection 6.0.00.17" = Acer Bio Protection
 

AAU 6.0.00.17

"Acer GameZone Console_is1" = Acer GameZone Console 2.0.1.1

"Activation Assistant for the 2007 Microsoft Office suites" = Activation Assistant for the 2007 Microsoft Office suites

"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX

"ALC1100 Paper Jam Guide" = ALC1100 Paper Jam Guide

"ALC1100 Reference Guide" = ALC1100 Reference Guide

"avast" = avast! Free Antivirus

"Avira AntiVir Desktop" = Avira Free Antivirus

"CNXT_MODEM_HDA_HSF" = HDAUDIO Soft Data Fax Modem with SmartCP

"Der VerkehrsGigant-Gold Edition" = Der VerkehrsGigant-Gold Edition

"EPSON Printer and Utilities" = EPSON Printer Software

"Google Chrome" = Google Chrome

"GridVista" = Acer GridVista

"HOMESTUDENTR" = Microsoft Office Home and Student 2007

"InstallShield_{06F80017-8F98-4C94-B868-52358569FC32}" = Command & Conquer Generals

"InstallShield_{12EFA1A4-AC3B-443C-8143-237EDE760403}" = NTI Backup Now 5

"InstallShield_{15D967B5-A4BE-42AE-9E84-64CD062B25AA}" = eSobi v2

"InstallShield_{2413930C-8309-47A6-BC61-5EF27A4222BC}" = NTI Media Maker 8

"InstallShield_{2637C347-9DAD-11D6-9EA2-00055D0CA761}" = Acer Arcade Deluxe

"InstallShield_{4A7FDA4D-F4D7-4A49-934A-066D59A43C7E}" = SmartSound Quicktracks Plugin

"InstallShield_{758C8301-2696-4855-AF45-534B1200980A}" = Samsung Kies

"InstallShield_{9720C029-0C2C-4D1E-9DE0-E89971C4C8C7}" = Silent Hunter III

"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = CyberLink PowerDirector

"InstallShield_{F3E9C243-122E-4D6B-ACC1-E1FEC02F6CA1}" = Command and Conquer(TM) Generäle Die Stunde Null 

"LManager" = Launch Manager

"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100

"McAfee Security Scan" = McAfee Security Scan Plus

"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1

"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU

"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1

"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile

"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack

"Netzmanager" = Netzmanager

"NVIDIA Drivers" = NVIDIA Drivers

"Starcraft" = Starcraft

"SynTPDeinstKey" = Synaptics Pointing Device Driver

"VLC media player" = VLC media player 2.0.1

"xampp" = XAMPP 1.6.6a

 
 ========== Last 20 Event Log Errors ==========

 

[ Application Events ]

Error - 16.02.2012 13:05:05 | Computer Name = Jochen-PC | Source = WinMgmt | ID = 10

Description = 

 

Error - 17.02.2012 12:02:33 | Computer Name = Jochen-PC | Source = WinMgmt | ID = 10

Description = 

 

Error - 17.02.2012 13:32:00 | Computer Name = Jochen-PC | Source = WinMgmt | ID = 10

Description = 

 

Error - 18.02.2012 02:36:56 | Computer Name = Jochen-PC | Source = WinMgmt | ID = 10

Description = 

 

Error - 22.02.2012 13:14:25 | Computer Name = Jochen-PC | Source = WinMgmt | ID = 10

Description = 

 

Error - 22.02.2012 14:43:01 | Computer Name = Jochen-PC | Source = WinMgmt | ID = 10

Description = 

 

Error - 23.02.2012 11:46:22 | Computer Name = Jochen-PC | Source = WinMgmt | ID = 10

Description = 

 

Error - 23.02.2012 15:55:13 | Computer Name = Jochen-PC | Source = WinMgmt | ID = 10

Description = 

 

Error - 26.02.2012 14:44:08 | Computer Name = Jochen-PC | Source = WinMgmt | ID = 10

Description = 

 

Error - 27.02.2012 15:11:23 | Computer Name = Jochen-PC | Source = WinMgmt | ID = 10

Description = 

 

Error - 28.02.2012 12:46:33 | Computer Name = Jochen-PC | Source = WinMgmt | ID = 10

Description = 

 

 

Error encountered while reading event logs.

 

< End of report >

Die Bereinigung besteht aus mehreren Schritten, die ausgefuehrt werden muessen.
Diese Nacheinander abarbeiten und die 3 Logs, die dabei erstellt werden bitte in deine naechste Antwort einfuegen.

Sollte der OTL-FIX nicht richig durchgelaufen sein. Fahre nicht fort, sondern melde dies bitte.

1. Schritt

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:
Der Fix fängt mit :OTL an. Vergewissere dich, dass du ihn richtig kopiert hast.

Code:

:OTL
 

SRV - (SessionLauncher) -- C:\Users\Jochen\AppData\Local\Temp\DX9\SessionLauncher.exe File not found 

O4 - HKLM..\Run: [ApnUpdater] C:\Program Files\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName}) 

O4 - HKU\S-1-5-21-2132821508-3261454821-3199800791-1000..\Run: [bkdshRyVNcu.exe] C:\ProgramData\bkdshRyVNcu.exe () 

[2013.02.07 20:30:37 | 000,295,424 | -H-- | M] () -- C:\ProgramData\bkdshRyVNcu.exe 

@Alternate Data Stream - 99 bytes -> C:\ProgramData\Temp:FC420CE6 

@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:9E22BBE8 

@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:C95B63DA 

@Alternate Data Stream - 111 bytes -> C:\ProgramData\Temp:8173A019 

@Alternate Data Stream - 108 bytes -> C:\ProgramData\Temp:B623B5B8 

@Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:4F636E25 

@Alternate Data Stream - 101 bytes -> C:\ProgramData\Temp:8AB6C1D7 

[2013.02.07 20:33:08 | 000,000,160 | -H-- | M] () -- C:\ProgramData\-bkdshRyVNcur 

[2013.02.07 20:33:08 | 000,000,152 | -H-- | M] () -- C:\ProgramData\-bkdshRyVNcu 

[2013.02.07 20:33:05 | 000,000,088 | -H-- | M] () -- C:\ProgramData\bkdshRyVNcu 
 

:Files 

C:\ProgramData\*.exe

C:\ProgramData\*.dll

C:\ProgramData\*.tmp

C:\ProgramData\TEMP

C:\Users\Jochen\*.tmp

C:\Users\Jochen\AppData\Local\Temp\*.exe

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache

ipconfig /flushdns /c

:Commands

[emptytemp]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\<datum_nummer.log>

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

2. Schritt
Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

3. Schritt
Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Hallo t'john, hier schon mal das OTl-Logfile:

Code:

All processes killed

========== OTL ==========

Service SessionLauncher stopped successfully!

Service SessionLauncher deleted successfully!

File  C:\Users\Jochen\AppData\Local\Temp\DX9\SessionLauncher.exe File not found not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ApnUpdater deleted successfully.

C:\Programme\Ask.com\Updater\Updater.exe moved successfully.

Registry value HKEY_USERS\S-1-5-21-2132821508-3261454821-3199800791-1000\Software\Microsoft\Windows\CurrentVersion\Run\\bkdshRyVNcu.exe deleted successfully.

C:\ProgramData\bkdshRyVNcu.exe moved successfully.

File C:\ProgramData\bkdshRyVNcu.exe not found.

ADS C:\ProgramData\Temp:FC420CE6 deleted successfully.

ADS C:\ProgramData\Temp:9E22BBE8 deleted successfully.

ADS C:\ProgramData\Temp:C95B63DA deleted successfully.

ADS C:\ProgramData\Temp:8173A019 deleted successfully.

ADS C:\ProgramData\Temp:B623B5B8 deleted successfully.

ADS C:\ProgramData\Temp:4F636E25 deleted successfully.

ADS C:\ProgramData\Temp:8AB6C1D7 deleted successfully.

C:\ProgramData\-bkdshRyVNcur moved successfully.

C:\ProgramData\-bkdshRyVNcu moved successfully.

C:\ProgramData\bkdshRyVNcu moved successfully.

========== FILES ==========

File\Folder C:\ProgramData\*.exe not found.

File\Folder C:\ProgramData\*.dll not found.

File\Folder C:\ProgramData\*.tmp not found.

C:\ProgramData\Temp\{5DB1DF0C-AABC-4362-8A6D-CEFDFB036E41} folder moved successfully.

C:\ProgramData\Temp\{2637C347-9DAD-11D6-9EA2-00055D0CA761} folder moved successfully.

C:\ProgramData\Temp folder moved successfully.

File\Folder C:\Users\Jochen\*.tmp not found.

C:\Users\Jochen\AppData\Local\Temp\AdobeUpdater12345.exe moved successfully.

C:\Users\Jochen\AppData\Local\Temp\RtkBtMnt.exe moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\tmp folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\muffin folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\host folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\7 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\63 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62\6baea4fe-23130626-n folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\62 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\6 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\59 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\57 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\56 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\54 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\51 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\49 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\48 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\4f710eed-4dc2f16f-n folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\42 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\39 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\39ba6e6-71dac85c-n folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\3976f065-48497202-n folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37\2c4a0065-22bc04b3-n folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\37 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\36 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\35 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\31 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\29 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\27 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\26 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\19 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\16 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\15 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\14 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\0 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0 folder moved successfully.

C:\Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache folder moved successfully.
 < ipconfig /flushdns /c >

Windows-IP-Konfiguration

Der DNS-Aufl”sungscache wurde geleert.

C:\Users\Jochen\Desktop\cmd.bat deleted successfully.

C:\Users\Jochen\Desktop\cmd.txt deleted successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Jochen

->Temp folder emptied: 25005307 bytes

->Temporary Internet Files folder emptied: 622187463 bytes

->Google Chrome cache emptied: 6416990 bytes

->Flash cache emptied: 35862 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 1568228 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 597299783 bytes

RecycleBin emptied: 1684945065 bytes

 

Total Files Cleaned = 2.801,00 mb

 

Error: Unable to interpret <         Schließe alle Programme. > in the current context!

 

OTL by OldTimer - Version 3.2.69.0 log created on 02082013_210742

Hallo t'john

Leider funktioniert das mit Schritt 2 nicht, wenn ich mbar.exe starte (als Administrator) kommt eine Meldung "Could not load DDA driver - DDA driver was not installed which may be caused by rootkit activity. Do you want to reboot the computer to install DDA drivers (Scan will continue after reboot)?"

Wenn ich dann bestätige und wieder in den abgesicherten Modus gehe, ist alles wie vorher und die Meldung kommt wieder. Und jetzt?

Jetzt habe ich eben in dem Fenster "Abbrechen" geklickt, daraufhin öffnete sich Malwarebytes Anti-Rootkit. Ich habe mich dann durchgeklickt, zunächst wurde die Database geupdated, dann kam "Scan System". Wenn ich hier wie aufgefordert auf "Scan" klicke, kommt die Meldung "Drivers not installed. Scan is aborted". Wenn ich diese mit "OK" bestätige, meldet das Programm "Scan finished: No malware found!" Kann das sein?

Bitte mit Schritt 3 weitermachen!

danach:

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

Hallo,

hier das Logfile von AdwCleaner:

Aktuell starte ich immer noch den abgesicherten Modus, da die bisherigen Versuche mit dem normalen Modus mit einem schwarzen Bildschirm geendet haben. Sag mir am besten, wann ich es wieder mit dem normalen Modus versuchen soll.

Code:

# AdwCleaner v2.111 - Datei am 09/02/2013 um 16:46:31 erstellt

# Aktualisiert am 05/02/2013 von Xplode

# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 1 (32 bits)

# Benutzer : Jochen - JOCHEN-PC

# Bootmodus : Abgesicherter Modus mit Netzwerkunterstützung

# Ausgeführt unter : C:\Users\Jochen\Desktop\adwcleaner.exe

# Option [Löschen]
 
 

**** [Dienste] ****
 
 

***** [Dateien / Ordner] *****
 

Ordner Gelöscht : C:\Program Files\Ask.com

Ordner Gelöscht : C:\Users\Jochen\AppData\LocalLow\AskToolbar

Ordner Gelöscht : C:\Windows\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
 

***** [Registrierungsdatenbank] *****
 

Schlüssel Gelöscht : HKCU\Software\APN

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\AskToolbar

Schlüssel Gelöscht : HKCU\Software\Ask.com

Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKLM\Software\APN

Schlüssel Gelöscht : HKLM\Software\AskToolbar

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{826D7151-8D99-434B-8540-082B8C2AE556}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1

Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gelöscht : HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{11549FE4-7C5A-4C17-9FC3-56FC5162A994}

Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0CFE535C35F99574E8340BFA75BF92C2

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\261F213D1F55267499B1F87D0CC3BCF7

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF

Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{00000000-6E41-4FD3-8538-502F5495E5FC}]

Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]
 

***** [Internet Browser] *****
 

-\\ Internet Explorer v8.0.6001.19088
 

Ersetzt : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.ask.com?o=10148&l=dis&tb=AVR-3 --> hxxp://www.google.com
 

-\\ Google Chrome v24.0.1312.57
 

Datei : C:\Users\Jochen\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

[OK] Die Datei ist sauber.
 

*************************
 

AdwCleaner[S1].txt - [7648 octets] - [09/02/2013 16:46:31]
 

########## EOF - C:\AdwCleaner[S1].txt - [7708 octets] ##########

Und das Logfile von aswMBR:

Code:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software

Run date: 2013-02-09 16:53:56

-----------------------------

16:53:56.008    OS Version: Windows 6.0.6001 Service Pack 1

16:53:56.008    Number of processors: 2 586 0x1706

16:53:56.008    ComputerName: JOCHEN-PC  UserName: Jochen

16:54:20.110    Initialize success

16:54:21.888    AVAST engine defs: 13020700

16:54:39.220    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

16:54:39.220    Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3

16:54:39.220    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-2

16:54:39.220    Disk 1 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3

16:54:39.236    Disk 0 MBR read successfully

16:54:39.236    Disk 0 MBR scan

16:54:39.813    Disk 0 unknown MBR code

16:54:39.828    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        10240 MB offset 2048

16:54:40.421    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       147501 MB offset 20973568

16:54:40.499    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       143872 MB offset 323055616

16:54:40.515    Disk 0 Partition 4 00     12  Compaq diag NTFS         3630 MB offset 617705472

16:54:40.640    Disk 0 scanning sectors +625139712

16:54:41.030    Disk 0 scanning C:\Windows\system32\drivers

16:54:48.221    File: C:\Windows\system32\drivers\int15.sys  **INFECTED** Win32:Zeroot-B [Rtk]

16:54:55.179    Disk 0 trace - called modules:

16:54:55.226    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys 

16:54:55.241    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8657ca38]

16:54:55.241    3 CLASSPNP.SYS[8a7aa745] -> nt!IofCallDriver -> [0x85760918]

16:54:55.257    5 acpi.sys[8069b6a0] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x85711028]

16:54:55.631    AVAST engine scan C:\Windows

16:54:58.907    AVAST engine scan C:\Windows\system32

16:56:59.870    AVAST engine scan C:\Windows\system32\drivers

16:57:03.458    File: C:\Windows\system32\drivers\int15.sys  **INFECTED** Win32:Zeroot-B [Rtk]

16:57:08.512    AVAST engine scan C:\Users\Jochen

17:00:39.315    AVAST engine scan C:\ProgramData

17:02:18.640    Scan finished successfully

17:04:48.790    Disk 0 MBR has been saved successfully to "C:\Users\Jochen\Desktop\MBR.dat"

17:04:48.790    The log file has been saved successfully to "C:\Users\Jochen\Desktop\aswMBR.txt"

Wir muessen den MBR fixen, sichere für den Fall der Fälle ALLE wichtigen Daten, auch wenn meistens alles glatt geht.

Hinweis: Mach bitte NICHT den MBR-Fix, wenn du noch andere Betriebssysteme wie zB Ubuntu installiert hast, ein MBR-Fix mit Windows-Tools macht ein parallel installiertes (Dualboot) Linux unbootbar.

Starte nach der Datensicherung aswmbr erneut und klick auf den Button FIXMBR.
Anschließend Windows neu starten und ein neues Log mit aswMBR machen.

Code:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software

Run date: 2013-02-09 22:51:04

-----------------------------

22:51:04.602    OS Version: Windows 6.0.6001 Service Pack 1

22:51:04.602    Number of processors: 2 586 0x1706

22:51:04.602    ComputerName: JOCHEN-PC  UserName: Jochen

22:51:28.564    Initialize success

22:51:30.218    AVAST engine defs: 13020700

22:51:37.253    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

22:51:37.253    Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3

22:51:37.269    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-2

22:51:37.269    Disk 1 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3

22:51:37.284    Disk 0 MBR read successfully

22:51:37.284    Disk 0 MBR scan

22:51:37.940    Disk 0 Windows VISTA default MBR code

22:51:37.955    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        10240 MB offset 2048

22:51:38.517    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       147501 MB offset 20973568

22:51:38.595    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       143872 MB offset 323055616

22:51:38.642    Disk 0 Partition 4 00     12  Compaq diag NTFS         3630 MB offset 617705472

22:51:38.766    Disk 0 scanning sectors +625139712

22:51:39.110    Disk 0 scanning C:\Windows\system32\drivers

22:51:46.005    File: C:\Windows\system32\drivers\int15.sys  **INFECTED** Win32:Zeroot-B [Rtk]

22:51:53.196    Disk 0 trace - called modules:

22:51:53.212    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys 

22:51:53.212    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8657c7c8]

22:51:53.243    3 CLASSPNP.SYS[8a7a3745] -> nt!IofCallDriver -> [0x8573c328]

22:51:53.243    5 acpi.sys[806936a0] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x85711028]

22:51:53.602    AVAST engine scan C:\Windows

22:51:56.956    AVAST engine scan C:\Windows\system32

22:53:59.213    AVAST engine scan C:\Windows\system32\drivers

22:54:02.552    File: C:\Windows\system32\drivers\int15.sys  **INFECTED** Win32:Zeroot-B [Rtk]

22:54:07.778    AVAST engine scan C:\Users\Jochen

22:58:44.537    AVAST engine scan C:\ProgramData

23:00:24.986    Scan finished successfully

23:00:41.724    Disk 0 MBR has been saved successfully to "C:\Users\Jochen\Desktop\MBR.dat"

23:00:41.724    The log file has been saved successfully to "C:\Users\Jochen\Desktop\aswMBR.txt"

TDSSKiller von Kaspersky

- Lade den TDSSKiller und entpacke das Archiv auf Deinen Desktop.
- Vergewissere Dich, dass die TDSSKiller.exe direkt auf dem Desktop liegt (nicht in einem Ordner auf dem Desktop).
- deaktiviere vorübergehend dein AntiVirus-Programm
- Starte die TDSSKiller.exe durch Doppelklick.
- Nach Beendigung der Arbeit schlägt das Tool vor, das System neu zu starten.
- Bestätige das ggfs. mit Y(es).
- Beim Hochfahren des Systems führt der Treiber alle geplanten Operationen aus löscht sich danach.
- Poste den Inhalt von C:\TDSSKiller.txt hier in den Thread.

Hier findest Du eine ausführlichere TDSSKiller Anleitung.

Hallo,

also ich habe die Einstellungen nach Anleitung gesetzt und den TDSSKiller laufen lassen, ein Systemneustart wurde jedoch nicht vorgeschlagen. Ich habe den Rechner jetzt händisch neu gestartet. Das Logfile ist zu groß, soll ich es dir wie nach Anleitung als zip.Datei schicken?

Grüße

Und da ist es schon:

Starte TDSSKiller nochmal und waehle bei

Code:

09:47:54.0527 1580  int15 ( UnsignedFile.Multi.Generic ) - skipped by user

09:47:54.0527 1580  int15 ( UnsignedFile.Multi.Generic ) - User select action: Skip

C:\Windows\system32\drivers\int15.sys

die Option Cure

Dann Log posten.

Hallo,

Cure steht nicht zur Verfügung, lediglich Skip, Copy to Quarantine und Delete. Was mache ich eventuell falsch?

Grüße

Und das neue Logfile nach Delete

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Da hätten wir das aswMBR-Log:

Code:

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software

Run date: 2013-02-10 21:06:27

-----------------------------

21:06:27.279    OS Version: Windows 6.0.6001 Service Pack 1

21:06:27.279    Number of processors: 2 586 0x1706

21:06:27.279    ComputerName: JOCHEN-PC  UserName: Jochen

21:06:51.896    Initialize success

21:06:53.441    AVAST engine defs: 13020700

21:07:15.281    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

21:07:15.281    Disk 0 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3

21:07:15.281    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IAAStorageDevice-2

21:07:15.281    Disk 1 Vendor: WDC_WD32 11.0 Size: 305245MB BusType: 3

21:07:15.312    Disk 0 MBR read successfully

21:07:15.312    Disk 0 MBR scan

21:07:15.811    Disk 0 Windows VISTA default MBR code

21:07:15.827    Disk 0 Partition 1 00     27 Hidden NTFS WinRE NTFS        10240 MB offset 2048

21:07:16.388    Disk 0 Partition 2 80 (A) 07    HPFS/NTFS NTFS       147501 MB offset 20973568

21:07:16.466    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS       143872 MB offset 323055616

21:07:16.513    Disk 0 Partition 4 00     12  Compaq diag NTFS         3630 MB offset 617705472

21:07:16.653    Disk 0 scanning sectors +625139712

21:07:16.997    Disk 0 scanning C:\Windows\system32\drivers

21:07:31.333    Service scanning

21:07:49.694    Modules scanning

21:07:51.691    Disk 0 trace - called modules:

21:07:51.707    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll iaStor.sys 

21:07:51.707    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x849fc440]

21:07:51.722    3 CLASSPNP.SYS[8a79c745] -> nt!IofCallDriver -> [0x85cb8438]

21:07:51.722    5 acpi.sys[806966a0] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0x849f7028]

21:07:52.081    AVAST engine scan C:\Windows

21:07:55.357    AVAST engine scan C:\Windows\system32

21:09:53.511    AVAST engine scan C:\Windows\system32\drivers

21:10:02.091    AVAST engine scan C:\Users\Jochen

21:14:45.341    AVAST engine scan C:\ProgramData

21:16:22.653    Scan finished successfully

21:17:14.336    Disk 0 MBR has been saved successfully to "C:\Users\Jochen\Desktop\MBR.dat"

21:17:14.336    The log file has been saved successfully to "C:\Users\Jochen\Desktop\aswMBR.txt"

Und das Log von SecurityCheck:

Code:

 Results of screen317's Security Check version 0.99.57  

 Windows Vista Service Pack 1 x86   

 Out of date service pack!! 

 Internet Explorer 8 Out of date! 
 ``````````````Antivirus/Firewall Check:`````````````` 

 Windows Security Center service is not running! This report may not be accurate! 

avast! Antivirus   

Avira Desktop      

 Antivirus up to date!   
 `````````Anti-malware/Other Utilities Check:````````` 

 Malwarebytes Anti-Malware Version 1.70.0.1100  

 Java(TM) 6 Update 12  

 Java version out of Date! 

 Adobe Reader 8 Adobe Reader out of Date! 

 Google Chrome 24.0.1312.57  
 ````````Process Check: objlist.exe by Laurent````````  
 `````````````````System Health check````````````````` 

 Total Fragmentation on Drive C:  % 
 ````````````````````End of Log``````````````````````

Alles Windows Updates einspielen, inkl. Service Pack!

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

An der Stelle muss ich als absoluter Laie jetzt ganz blöd fragen, wie kann ich die Updates manuell einspielen? Bisher lief das eigentlich immer automatisch...

Sodele:

Code:

Emsisoft Anti-Malware - Version 7.0

Letztes Update: 11.02.2013 21:34:03
 

Scan Einstellungen:
 

Scan Methode: Detail Scan

Objekte: Rootkits, Speicher, Traces, C:\, D:\, E:\
 

Riskware-Erkennung: Aus

Archiv Scan: An

ADS Scan: An

Dateitypen-Filter: Aus

Erweitertes Caching: An

Direkter Festplattenzugriff: Aus
 

Scan Beginn:        11.02.2013 21:37:41
 

C:\Program Files\GameSpy Arcade         gefunden: Trace.File.GameSpy Arcade (A)

C:\Program Files\GameSpy Arcade\INSTALL.LOG         gefunden: Trace.File.GameSpy Arcade (A)

C:\_OTL\MovedFiles\02082013_210742\C_ProgramData\bkdshRyVNcu.exe         gefunden: Trojan.Win32.Agent.AMN (A)

C:\_OTL\MovedFiles\02082013_210742\C_Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\78892217-68270606         gefunden: PWS.Win32.Fareit.AMN (A)

C:\Program Files\Acer GameZone\Big Kahuna Reef\Big Kahuna Reef.exe         gefunden: Trojan.Win32.Agent (A)
 

Gescannt        504811

Gefunden        5
 

Scan Ende:        11.02.2013 22:40:46

Scan Zeit:        1:03:05
 

C:\Program Files\Acer GameZone\Big Kahuna Reef\Big Kahuna Reef.exe        Quarantäne Trojan.Win32.Agent (A)

C:\_OTL\MovedFiles\02082013_210742\C_Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\23\78892217-68270606        Quarantäne PWS.Win32.Fareit.AMN (A)

C:\_OTL\MovedFiles\02082013_210742\C_ProgramData\bkdshRyVNcu.exe        Quarantäne Trojan.Win32.Agent.AMN (A)

C:\Program Files\GameSpy Arcade        Quarantäne Trace.File.GameSpy Arcade (A)

C:\Program Files\GameSpy Arcade\INSTALL.LOG        Quarantäne Trace.File.GameSpy Arcade (A)
 

Quarantäne        5

Sehr gut! :daumenhoc

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Java aktualisieren

Dein Java ist nicht mehr aktuell. Älter Versionen enthalten Sicherheitslücken, die von Malware missbraucht werden können.

Downloade dir bitte die neueste Java-Version von hier
Speichere die .exe-Datei
Schließe alle laufenden Programme. Speziell deinen Browser.
Starte die jxpiinstall.exe. Diese wird den Installer für die neueste Java Version ( Java 7 Update 13 ) herunter laden.
Wenn die Installation beendet wurde
Start --> Systemsteuerung --> Programme und deinstalliere alle älteren Java Versionen.
Starte deinen Rechner neu sobald alle älteren Versionen deinstalliert wurden.

Nach dem Neustart

Öffne erneut die Systemsteuerung --> Programme und klicke auf das Java Symbol.
Im Reiter Allgemein, klicke unter Temporäre Internetdateien auf Einstellungen.
Klicke auf Dateien löschen....
Gehe sicher das überall ein Hacken gesetzt ist und klicke OK.
Klicke erneut OK.

Dann so einstellen: http://www.trojaner-board.de/105213-...tellungen.html

Danach poste (kopieren und einfuegen) mir, was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: http://tools.trojaner-board.de/plugincheck.html

So, das ESET-Logfile:

Code:

ESETSmartInstaller@High as downloader log:

all ok

# version=8

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6920

# api_version=3.0.2

# EOSSerial=87d8b0ecd3357547addee5a326737afe

# engine=13135

# end=finished

# remove_checked=true

# archives_checked=true

# unwanted_checked=false

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2013-02-12 07:58:50

# local_time=2013-02-12 08:58:50 (+0100, Mitteleuropäische Zeit)

# country="Germany"

# lang=1033

# osver=6.0.6002 NT Service Pack 2

# compatibility_mode=774 16777214 100 91 434888 137409002 0 0

# compatibility_mode=1799 16775166 100 98 525207 226122420 517984 0

# compatibility_mode=5892 16776574 100 100 93729 198231858 0 0

# scanned=197725

# found=1

# cleaned=1

# scan_time=4312

sh=39DF4FA3EEF4086E81F17A9ECE613BD2A81C8719 ft=0 fh=0000000000000000 vn="Java/Exploit.Agent.NFU trojan (deleted - quarantined)" ac=C fn="C:\_OTL\MovedFiles\02082013_210742\C_Users\Jochen\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\21\3a184315-593088cb"

Die Installation von Adobe läuft leider nicht durch, es kommt eine Meldung über einen Skriptfehler mit der Frage, ob ich das Skript trotzdem ausführen möchte. Egal ob ich ja oder nein anklicke, es geht nicht weiter. Soll ich direkt mit Java weitermachen?

Grüße

Hat wieder nicht geklappt. Dieses mal hat die Oberfläche anders ausgesehen, als Fehler wurde angegeben:

"Auf den Windows-Installationsdienst konnte nicht zugegriffen werden. Die kann vorkommen, wenn der Windows-Installer nicht richtig installiert ist. Wenden Sie sich an den Support, um Hilfe zu erhalten"

Soll ich es mit einem Programm aus der Alternativenliste versuchen? Welches empfiehlst du mir?

Windows Repair Tool (AIO)

Downloade Windows repair tool
Entpacke das Zip und starte Repair_Windows.exe
Klicke auf Start repairs Tab dann: Start

folgende Punkte auswählen

Register System Files
Repair WMI
Repair Windows Firewall
Remove Policies Set By Infections
Repair Windows Updates
Set Windows Services To Default Startup
Repair MSI (Installer)

Auswählen: Restart System When Finished
Dann Start Button klicken.

Dann nochmal versuchen.

Habe ich gemacht, anstatt Neustart startet er jetzt den abgesicherten Modus nicht mehr sondern bootet komplett neu. Beim normalen Modus kommt die Meldung, dass der Service pack installiert wird, hängt a aber bei 0%...

Welcher Modus funktioniert nun?

Bitte mit der Wndows-DVD booten und dort unter Reparaturoptionen einen Wiederherstellungspunkt vor dem Update waehlen.

So, und damit kommen wir wohl zum größten Problem:
Die mitgelieferten Vista-DVDs wurden in einem sinnlosen Anfall von Aufräumen von meinem Vater vor einiger Zeit einfach weggeworfen und ich habe leider (natürlich) keine Recovery-CD erstellt. Ich könnte jetzt höchstens mal im Freundeskreis nachfragen, wer Vista rumliegen hat oder brauche ich die laptopspezifische Version?

Du brauchst die Version, die installiert ist.

Kannst du beim starten f8 druecken mehrmals und "Als letzte Funktioierend bekannte Version laden" auswahlen?

Hallo,

die Option besteht, allerdings mit dem selben Ergebnis wie in meinem letzten Post vom 14. Er hängt bei der Meldung, dass der Service Pack installiert wird, bei 0%.

Du koenntest mit einer Ubuntu-Live CD booten und diese Datei:

Code:

c:\windows\winsxs\pending.xml

umbennen.
Das sollte Vista veranlassen das Update zu uberspringen.

Klingt nach einem Plan, wo bekomme ich so eine CD her?

ISO runterladen, brennen und vom infizierten System booten: Download Ubuntu Desktop | Ubuntu

Hallo,

ich habe jetzt nach Anleitung eine DVD erstellt, was genau muss ich jetzt machen?

Code:

c:\windows\winsxs\pending.xml

umbennen, soweit so gut. Aber in was?

ind pending_orig.xml ;)

Ich bekomme die Datei nicht umbenannt, das Fenster schließt sich danach, es kommt eine Meldung über einen internal error und wenn ich nachsehe, heißt die Datei wie vorher...

Ich habe jetzt eine Kopie der Datei erstellt und umbenannt. Soll ich es mit löschen der ursprünglichen Datei versuchen?

Hallo, hattest du mir was geschrieben und dann wieder gelöscht? Ich hatte eine Benachrichtigung aber hier im Board steht nichts... Was genau soll ich da in Sachen Code machen?