Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Computer mit Trojanern voll, Partition verschwunden, dunkler Bildschirm (https://www.trojaner-board.de/131156-computer-trojanern-voll-partition-verschwunden-dunkler-bildschirm.html)

Garfield2704 17.02.2013 00:25
Computer mit Trojanern voll, Partition verschwunden, dunkler Bildschirm
 
Hallo,
ich glaube, ihr seid meine letzte Rettung. Vor einigen Wochen habe ich ein Malware-Problem selber behebne können (auch mit euren Hinweisen aus dem Board. Diees Mal ist das Problem viel größer:
Vorab einige Infos:
Mein Rechner hat das Betriebssystem VISTA (32 BIT).
Seit Jahren läuft es immer störungsfrei (keine Trojaner etc.) Ich habe Antivir (Freeware) drauf, das immer wieder mal einen Virus entdeckte, der dann in Quarantäne verschoben wurde. Am Dienstag gab es dann den Ausfall. Vista lässt sich noch hochfahren, allerdings kommt dann ein schwarzer Bildschirm, alle Icons auf dem Desktop sind weg. Erst dachte ich, die Festplatte ist defekt und wollte eine Reparatur von CD starten. Es kam immer die Fehlermeldung, der entsprechende Ordner auf C: wurde nicht gefunden. Nach dem Start kam meldete ein komisches Programm viele Fehler auf der Festplatte, die nur behoben werden können, wenn man irgendein Programm kauft (Name habe ich leider vergessen). Habe dann Malware laufen lassen und Spybot 2. Dann waren die vielen Fenster, die immer nach dem Start aufgingen, weg.
Gestern habe ich dann Emsisoft Anti-Maleware aufgespielt, um mich schon beim Eindringen der Trojaner zu schützen. Dieses Programm fand, ich glaube, 39 Trojaner u.ä., wovon die meisten als gefährlich eingestuft wurden. Die Quarantäneliste könnte ich hier hochladen, auch an das Protokoll von Malware käme ich noch heran.
Ich hoffe, ihr habt eine Lösung für mich. Vielen Dank für Eure Hilfe.

aharonov 17.02.2013 01:57
Hi,

Zitat:
Die Quarantäneliste könnte ich hier hochladen, auch an das Protokoll von Malware käme ich noch heran.
Ja, füge bitte mal alle vorhandenen Protokolle hier ein, die irgendeinen Fund dokumentieren.

Kannst du mir noch kurz schildern, wie denn die Lage auf deinem Rechner jetzt genau ist? Es sind die Icons vom Desktop verschwunden, aber sonst kannst du normal arbeiten? Oder blockiert immer noch etwas?

Garfield2704 17.02.2013 10:05
Hallo Leo,
erst einmal vielen Dank, dass du mir helfen möchtest.

Die Situation ist momentan folgende:
Der Computer fährt hoch, Bildschirm ist schwarz, am Rand sind die Windows-Sidebar Icons. Unten in der Taskleiste kann man rechts einige Programme anwählen (kleine Icons), links kann man Start anwählen, zu sehen ist dann "Alle Programme" Die werden auch angezeigt, lassen sich fast alle öffnen (z.B. Windows defender funktioniert nicht, Windows update ist okay). Ich kann auch im Startmenü den Punkt "Computer" aufrufen, dort sehe ich, dass nicht alle Partitionen gelistet sind (D fehlt). Unter D: finde ich jetzt meinen Speicherstick als Wechseldatenträger gelistet. Bei meinem Ordner (der nach meinem Namen benannt ist), fehlen alle Dateien (Bilder, Dokumente etc.).
Gestern zum Beispiel habe ich z.B. die Partition D: angezeigt bekommen, allerdings waren alle Dateien umbenannt worden in sinnlose Dateiennamen. Heute sehe ich gar nichts mehr.
Der Computer läuft nicht ganz so flott wie vor dem Infizieren.

Anbei die Quarantäneliste, ich glaube, das Programm Maleware ist von Emsisoft, ich habe jetzt eine Vollversion.
Ich hoffe, dass es mit dem Hochladen klappt.

Viele Grüße
garfield2704

aharonov 17.02.2013 15:10
Hi,

da hast du dir ja ziemlich was eingefangen..
Versuch bitte mal das:


Downloade bitte Grinler's unhide.exe auf deinem Desktop
Starte das Tool mit Doppelklick.

Wenn es fertig ist, wird eine Nachricht mit Done aufpoppen.
Es wird auch ein Logfile Unhide.txt erstellen. Poste dieses bitte hier.

Garfield2704 17.02.2013 18:52
Liste der Anhänge anzeigen (Anzahl: 1)
Hallo Leo, habe alles so gemacht.
Leider wurde auf dem Desktop, wie angekündigt, keine Text-Datei abgelegt.
Habe das Programm nochmal laufen lassen und das Ergebnis als Word Datei speichern können (Siehe Anhang). Nachtrag. Lässt sich leider nicht hochladen, so nun als pdf-Datei gesendet)
Die vorherigen Dateien sind jetzt wieder auf dem Desktop zu sehen, meine privaten Dateien sind auch wieder da (incl. Fotos).
Das Einzige, was ich noch nicht sehe, ist Partition D, die wird als Wechseldatenträger (USB Stick) angesehen. Vorher war USB immer F: Der Bildschirm ist auch noch schwarz, links fehlen im Startmenü solche Dinge wie Explorer und mein Mailprogramm.
Ich weiß jetzt auch wieder, welches Programm nach dem "Absturz" sich gemeldet hat. Es war System Repair, wollte Geld für eine angebliche Reparatur haben. Ein Icon von dem Programm habe ich jetzt auch in der Taskleiste.
Viele Grüße
Garfield2704

aharonov 17.02.2013 19:18
Hi,

was war denn Partition D: bei dir? Sind die Daten von dort jetzt gar nirgends mehr sichtbar?
Mach mal noch das Folgende:
(Logfiles bitte generell nicht anhängen, sondern deren Inhalt direkt innerhalb von Codetags posten: [code]Inhalt Logfile[/code].)


Schritt 1

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.
  • Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
  • Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
  • Schliesse bitte alle anderen Programme.
  • Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
    Vista und Win7 User mit Rechtsklick "als Administrator starten".
  • Sollte sich ein Fenster mit folgender Warnung öffnen
    WARNING !!!
    GMER has found system modification, which might have been caused by ROOTKIT activity.
    Do you want to fully scan your system ?
    dann klicke unbedingt auf No.
  • Entferne rechts den Haken bei:
    • IAT/EAT
    • Show all
  • Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
  • Starte den Scan mit einem Klick auf Scan.
  • Mache gar nichts am Computer, während der Scan läuft!
  • Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
  • Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
  • Füge bitte den Inhalt des Logfiles hier in deine Thread ein.
Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.



Schritt 2

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
  • Doppelklick auf die OTL.exe.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
  • Poste den Inhalt dieser Logfiles hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von Gmer
  • Log von OTL

Garfield2704 18.02.2013 01:44
Hallo Leo,
jetzt streikt mein Netbook, es ist wie verhext. Ist extrem langsam und hängt ständig. So probiere ich es jetzt vom PC aus. Den Explorer kann ich nicht starten, komme über Umwegen ins Internet (HP von Emsisoft).
Ich weiß jetzt auch wieder, was D: war. Ich hatte eine externe Festplatte angeschlossen, die partitioniert war. Die Festplatte war ü´´ber einen Datenhafen angeschlossen, ich hatte sie gestern vom PC getrennt.
Die Festplatte wird jetzt wieder erkannt, allerdings haben die Dateien nur Fragmente ("Kauderwelsch") als Namen. Die Partitionen sind auch nicht mehr da.
Wie soll ich mich da verhalten? Muss ich die Programme noch mal laufen lassen??

Ansonsten erst einmal die Logfiles.

GMER

Code:
GMER 2.1.18952 - hxxp://www.gmer.net
Rootkit scan 2013-02-17 22:44:13
Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 -> \Device\00000055 WDC_WD50 rev.01.0 465,76GB
Running: GMER_2.1.18952.exe; Driver: C:\Users\Bille\AppData\Local\Temp\uwloqpod.sys


---- System - GMER 2.1 ----

SSDT            90E10226                                                                                                    ZwCreateSection
SSDT            90E10230                                                                                                    ZwRequestWaitReplyPort
SSDT            90E1022B                                                                                                    ZwSetContextThread
SSDT            90E10235                                                                                                    ZwSetSecurityObject
SSDT            90E1023A                                                                                                    ZwSystemDebugControl
SSDT            90E101C7                                                                                                    ZwTerminateProcess

INT 0x51        ?                                                                                                            8545EC88
INT 0x52        ?                                                                                                            88B95C88
INT 0x92        ?                                                                                                            8545DC88
INT 0xA2        ?                                                                                                            8545EC88
INT 0xA3        ?                                                                                                            88B95C88

---- Kernel code sections - GMER 2.1 ----

.text          ntkrnlpa.exe!KeSetEvent + 215                                                                                832C88D8 4 Bytes  [26, 02, E1, 90] {ADD AH, CL; NOP }
.text          ntkrnlpa.exe!KeSetEvent + 539                                                                                832C8BFC 4 Bytes  [30, 02, E1, 90] {XOR [EDX], AL; LOOPZ 0xffffff94}
.text          ntkrnlpa.exe!KeSetEvent + 56D                                                                                832C8C30 4 Bytes  [2B, 02, E1, 90] {SUB EAX, [EDX]; LOOPZ 0xffffff94}
.text          ntkrnlpa.exe!KeSetEvent + 5D1                                                                                832C8C94 4 Bytes  [35, 02, E1, 90]
.text          ntkrnlpa.exe!KeSetEvent + 619                                                                                832C8CDC 4 Bytes  [3A, 02, E1, 90] {CMP AL, [EDX]; LOOPZ 0xffffff94}
.text          ...                                                                                                         
.text          kdcom.dll!KdSendPacket                                                                                      80402041 80 Bytes  [0E, 83, C0, 02, 83, C2, 02, ...]
.text          kdcom.dll!KdDebuggerInitialize0 + 6                                                                          80402092 4 Bytes  [57, 33, C0, 33]
.text          kdcom.dll!KdDebuggerInitialize0 + B                                                                          80402097 41 Bytes  [6A, 62, 66, 89, 45, 98, 8D, ...]
.text          kdcom.dll!KdDebuggerInitialize0 + 35                                                                        804020C1 34 Bytes  [57, FF, 15, AC, 12, 40, 80, ...]
.text          kdcom.dll!KdDebuggerInitialize0 + 58                                                                        804020E4 81 Bytes  [2B, D6, 3B, 51, 14, 0F, 87, ...]
.text          kdcom.dll!KdDebuggerInitialize0 + AA                                                                        80402136 41 Bytes  [8B, C7, 2B, C6, 50, 8D, 85, ...]
.text          kdcom.dll!KdRestore + 4                                                                                      80402160 53 Bytes  [5D, 08, BE, 1C, 13, 40, 80, ...]
.text          kdcom.dll!KdRestore + 3A                                                                                    80402196 98 Bytes  [15, B0, 12, 40, 80, 59, 59, ...]
.text          kdcom.dll!KdRestore + 9E                                                                                    804021FA 60 Bytes  [10, 46, 81, C7, AC, 00, 00, ...]
.text          kdcom.dll!KdRestore + DB                                                                                    80402237 11 Bytes  [00, 6A, 64, 8D, 45, 98, 6A, ...]
.text          kdcom.dll!KdRestore + E8                                                                                    80402244 64 Bytes  [00, 83, C4, 18, 33, C0, 85, ...]
.text          ...                                                                                                         
.text          kdcom.dll!KdReceivePacket + 2D                                                                              8040231B 16 Bytes  [00, 00, 83, 7D, F0, 14, 72, ...]
.text          kdcom.dll!KdReceivePacket + 3E                                                                              8040232C 6 Bytes  [00, 74, A9, 83, 7B, 04] {ADD [ECX+EBP*4-0x7d], DH; JNP 0xa}
.text          kdcom.dll!KdReceivePacket + 45                                                                              80402333 8 Bytes  [74, 73, 8B, 73, 10, 8B, 4D, ...] {JZ 0x75; MOV ESI, [EBX+0x10]; MOV ECX, [EBP+0x8]}
.text          kdcom.dll!KdReceivePacket + 4E                                                                              8040233C 66 Bytes  [3B, 03, F1, C7, 43, 04, 37, ...]
.text          kdcom.dll!KdReceivePacket + 91                                                                              8040237F 79 Bytes  CALL 80402084 \SystemRoot\system32\kdcom.dll (Kernel Debugger HW Extension DLL/Microsoft Corporation)
.text          ...                                                                                                         
.text          kdcom.dll!KdSendPacket + 78                                                                                  804025DE 25 Bytes  [74, 69, 6E, 65, 00, 00, 8B, ...]
.text          kdcom.dll!KdSendPacket + 92                                                                                  804025F8 145 Bytes  [5F, 02, 49, 6F, 52, 65, 67, ...]
.text          kdcom.dll!KdSendPacket + 124                                                                                8040268A 51 Bytes  [E7, 05, 52, 74, 6C, 49, 6D, ...]
.text          kdcom.dll!KdSendPacket + 158                                                                                804026BE 14 Bytes  [1F, 08, 5F, 73, 74, 72, 69, ...]
.text          kdcom.dll!KdSendPacket + 167                                                                                804026CD 89 Bytes  [78, 41, 6C, 6C, 6F, 63, 61, ...]
.text          ...                                                                                                         
?              System32\Drivers\spqf.sys                                                                                    Das System kann den angegebenen Pfad nicht finden. !
.text          USBPORT.SYS!DllUnload                                                                                        8919641B 5 Bytes  JMP 88B951D8
.text          C:\Windows\system32\DRIVERS\atikmdag.sys                                                                    section is writeable [0x8E204000, 0x37D761, 0xE8000020]

---- User code sections - GMER 2.1 ----

[SIZE="4"]
Code:
OTL logfile created on: 17.02.2013 22:59:01 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Bille\Documents\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 0,67 Gb Available Physical Memory | 33,33% Memory free
4,24 Gb Paging File | 2,12 Gb Available in Paging File | 50,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 236,31 Gb Total Space | 20,81 Gb Free Space | 8,81% Space Free | Partition Type: NTFS
Drive D: | 3,73 Gb Total Space | 3,68 Gb Free Space | 98,65% Space Free | Partition Type: FAT32
Drive E: | 1,93 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive Z: | 19,99 Gb Total Space | 9,42 Gb Free Space | 47,14% Space Free | Partition Type: FAT32
 
Computer Name: BILLE-PC | User Name: Bille | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.17 22:57:59 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Bille\Documents\Desktop\OTL.exe
PRC - [2013.02.16 15:14:21 | 003,089,320 | ---- | M] (Emsisoft GmbH) -- C:\Programme\Emsisoft Anti-Malware\a2service.exe
PRC - [2013.02.16 15:14:20 | 003,365,288 | ---- | M] (Emsisoft GmbH) -- C:\Programme\Emsisoft Anti-Malware\a2guard.exe
PRC - [2013.01.08 23:42:06 | 000,757,280 | ---- | M] (Microsoft Corporation) -- C:\Programme\Internet Explorer\iexplore.exe
PRC - [2012.12.18 15:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2012.11.20 15:09:00 | 000,188,760 | ---- | M] () -- C:\Programme\IB Updater\ExtensionUpdaterService.exe
PRC - [2012.11.13 14:08:12 | 003,487,240 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe
PRC - [2012.11.13 14:08:08 | 003,825,176 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy 2\SDTray.exe
PRC - [2012.11.13 14:07:20 | 001,369,624 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe
PRC - [2012.11.13 14:07:16 | 001,103,392 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe
PRC - [2012.08.08 20:48:23 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.08 18:11:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.08 18:11:22 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.05.08 18:11:21 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.02.16 12:49:28 | 002,310,544 | ---- | M] (WIBU-SYSTEMS AG) -- C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe
PRC - [2011.01.26 23:55:54 | 000,393,216 | ---- | M] (AMD) -- C:\Windows\System32\atieclxx.exe
PRC - [2011.01.26 23:55:24 | 000,176,128 | ---- | M] (AMD) -- C:\Windows\System32\atiesrxx.exe
PRC - [2010.10.18 14:37:35 | 000,081,920 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\consent.exe
PRC - [2009.08.27 17:09:10 | 001,253,376 | ---- | M] (MAGIX AG) -- C:\Programme\Common Files\MAGIX Services\Database_146bec2\bin\FABS.exe
PRC - [2009.04.11 07:28:03 | 001,233,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Sidebar\sidebar.exe
PRC - [2009.04.11 07:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2007.04.13 18:14:28 | 000,016,384 | ---- | M] (Empolis GmbH) -- C:\Programme\Medion\MEDIONbox\Program\GCS.exe
PRC - [2001.11.12 13:31:48 | 000,020,480 | ---- | M] (X10) -- C:\Programme\Common Files\X10\Common\X10nets.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.11.13 14:06:32 | 000,158,624 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\snlFileFormats150.bpl
MOD - [2012.11.13 14:06:30 | 000,108,960 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\snlThirdParty150.bpl
MOD - [2012.11.13 14:06:28 | 000,554,400 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\VirtualTreesDXE150.bpl
MOD - [2012.11.13 14:06:28 | 000,528,288 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\JSDialogPack150.bpl
MOD - [2012.11.13 14:06:28 | 000,416,160 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\DEC150.bpl
MOD - [2011.09.27 07:23:00 | 000,087,912 | ---- | M] () -- C:\Programme\Common Files\Apple\Apple Application Support\zlib1.dll
MOD - [2011.09.27 07:22:40 | 001,242,472 | ---- | M] () -- C:\Programme\Common Files\Apple\Apple Application Support\libxml2.dll
MOD - [2011.01.26 23:11:58 | 000,023,040 | ---- | M] () -- C:\Windows\System32\atitmpxx.dll
MOD - [2008.10.22 11:50:44 | 000,094,720 | ---- | M] () -- C:\Programme\FileZilla FTP Client\fzshellext.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Program Files\Spybot -- (SDWSCService)
SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SDUpdateService)
SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SDScannerService)
SRV - [2013.02.16 15:14:21 | 003,089,320 | ---- | M] (Emsisoft GmbH) [Auto | Running] -- C:\Programme\Emsisoft Anti-Malware\a2service.exe -- (a2AntiMalware)
SRV - [2012.12.18 15:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.11.20 15:09:00 | 000,188,760 | ---- | M] () [Auto | Running] -- C:\Programme\IB Updater\ExtensionUpdaterService.exe -- (IB Updater)
SRV - [2012.07.13 12:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.05.08 18:11:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.08 18:11:21 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.02.16 12:49:28 | 002,310,544 | ---- | M] (WIBU-SYSTEMS AG) [Auto | Running] -- C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe -- (CodeMeter.exe)
SRV - [2011.01.26 23:55:24 | 000,176,128 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility)
SRV - [2010.01.09 20:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 20:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.08.27 17:09:10 | 001,253,376 | ---- | M] (MAGIX AG) [Auto | Running] -- C:\Program Files\Common Files\MAGIX Services\Database_146bec2\bin\FABS.exe -- (Fabs)
SRV - [2008.11.04 00:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2008.08.07 11:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Common Files\MAGIX Services\Database_146bec2\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2008.01.19 08:33:39 | 000,896,512 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2007.04.13 18:14:26 | 000,036,864 | ---- | M] (Empolis GmbH) [Auto | Stopped] -- c:\Programme\Common Files\Gnab\Service\ServiceController.exe -- (GnabService)
SRV - [2001.11.12 13:31:48 | 000,020,480 | ---- | M] (X10) [Auto | Running] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\NETFWDSL.SYS -- (NETFWDSL)
DRV - File not found [File_System | On_Demand | Stopped] -- C:\Windows\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - [2012.05.08 18:11:28 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.08 18:11:28 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.04.30 18:45:28 | 000,054,072 | ---- | M] (Emsisoft GmbH) [File_System | On_Demand | Running] -- C:\Programme\Emsisoft Anti-Malware\a2accx86.sys -- (a2acc)
DRV - [2012.04.30 18:45:00 | 000,037,856 | ---- | M] (Emsisoft GmbH) [File_System | System | Running] -- C:\Programme\Emsisoft Anti-Malware\a2dix86.sys -- (a2injectiondriver)
DRV - [2011.12.19 01:12:06 | 000,697,328 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2011.09.16 15:08:07 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.05.19 14:10:34 | 000,017,904 | ---- | M] (Emsi Software GmbH) [Kernel | System | Running] -- C:\Programme\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA)
DRV - [2011.01.27 00:36:14 | 007,566,848 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (amdkmdag)
DRV - [2011.01.26 23:13:10 | 000,238,592 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmpag.sys -- (amdkmdap)
DRV - [2010.11.17 13:04:12 | 000,097,296 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\AtihdLH3.sys -- (AtiHDAudioService)
DRV - [2010.05.05 09:40:32 | 000,011,776 | ---- | M] (Emsi Software GmbH) [Kernel | System | Running] -- C:\Programme\Emsisoft Anti-Malware\a2util32.sys -- (a2util)
DRV - [2010.04.03 21:55:32 | 011,573,800 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2009.11.19 13:32:02 | 000,081,920 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ser2pl.sys -- (Ser2pl)
DRV - [2009.10.08 15:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.01.09 12:28:34 | 000,027,632 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\seehcri.sys -- (seehcri)
DRV - [2008.01.08 08:17:08 | 001,302,368 | ---- | M] (NXP Semiconductors Germany GmbH) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\3xHybrid.sys -- (3xHybrid)
DRV - [2007.12.10 14:22:22 | 000,110,120 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017unic.sys -- (s3017unic)
DRV - [2007.12.10 14:22:22 | 000,100,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017obex.sys -- (s3017obex)
DRV - [2007.12.10 14:22:20 | 000,104,616 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017mgmt.sys -- (s3017mgmt)
DRV - [2007.12.10 14:22:20 | 000,025,512 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017nd5.sys -- (s3017nd5)
DRV - [2007.12.10 14:22:18 | 000,110,632 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017mdm.sys -- (s3017mdm)
DRV - [2007.12.10 14:22:18 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017mdfl.sys -- (s3017mdfl)
DRV - [2007.12.10 14:22:14 | 000,083,880 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017bus.sys -- (s3017bus)
DRV - [2007.11.18 02:39:50 | 001,040,544 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvmfdx32.sys -- (NVENETFD)
DRV - [2007.10.31 11:23:20 | 000,115,744 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\nvstor32.sys -- (nvstor32)
DRV - [2007.09.21 10:38:22 | 000,554,496 | ---- | M] (Ralink Technology Corp.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\netr28u.sys -- (netr28u)
DRV - [2007.07.07 14:13:10 | 000,012,032 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvsmu.sys -- (nvsmu)
DRV - [2006.11.30 15:18:18 | 000,027,416 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\x10ufx2.sys -- (XUIF)
DRV - [2006.11.17 10:31:04 | 000,013,976 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\x10hid.sys -- (X10Hid)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
IE - HKLM\..\URLSearchHook:  - No CLSID value found
IE - HKLM\..\URLSearchHook: {78e516ef-11de-47a1-8364-a99b917ec5ee} - C:\Programme\FileConverter_1.3\prxtbFilerror.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found
IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2431245
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
 
 
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar =
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page =
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\.DEFAULT\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar =
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page =
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-18\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.focus.de/
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\URLSearchHook: {78e516ef-11de-47a1-8364-a99b917ec5ee} - C:\Programme\FileConverter_1.3\prxtbFilerror.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\SearchScopes,DefaultScope = {CDE97567-36EB-4070-AAE2-54FEF0C2AC45}
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\SearchScopes\{C311C248-D7DE-4619-BBA2-271264ECF7E9}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3241949
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\SearchScopes\{CDE97567-36EB-4070-AAE2-54FEF0C2AC45}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA_de
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.3088: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.3146: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.11.3006: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: C:\Users\Bille\AppData\Roaming\Move Networks\plugins\071802000001\npqmp071802000001.dll (Move Networks)
FF - HKCU\Software\MozillaPlugins\@www.flatcast.com/FlatViewer 5.2: C:\Windows\DOWNLO~1\NpFv522.dll ()
FF - HKCU\Software\MozillaPlugins\amazon.com/AmazonMP3DownloaderPlugin: C:\Program Files\Amazon\MP3 Downloader\npAmazonMP3DownloaderPlugin101753.dll (Amazon.com, Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2008.01.14 12:40:52 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox [2012.12.10 13:59:20 | 000,000,000 | ---D | M]
 
[2011.04.21 21:40:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bille\AppData\Roaming\mozilla\Extensions
[2009.12.20 23:30:47 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bille\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.04.21 21:40:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bille\AppData\Roaming\mozilla\Extensions\ideskbrowser@haufe.de
 
O1 HOSTS File: ([2006.09.18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1            localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Programme\IB Updater\Extension32.dll ()
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O2 - BHO: (FileConverter 1.3 Toolbar) - {78e516ef-11de-47a1-8364-a99b917ec5ee} - C:\Programme\FileConverter_1.3\prxtbFilerror.dll (Conduit Ltd.)
O2 - BHO: (YouTubeAnywhere) - {8015C430-448C-4003-A969-274F7F0F2D9C} - C:\Users\Bille\AppData\LocalLow\YouTubeAnywhere\IE\YouTubeAnywhere.dll (Diego Casorran)
O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Programme\Iminent\IMBooster4Web\Iminent.WebBooster.dll (Iminent)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (FileConverter 1.3 Toolbar) - {78e516ef-11de-47a1-8364-a99b917ec5ee} - C:\Programme\FileConverter_1.3\prxtbFilerror.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\Toolbar\WebBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\Toolbar\WebBrowser: (FileConverter 1.3 Toolbar) - {78E516EF-11DE-47A1-8364-A99B917EC5EE} - C:\Programme\FileConverter_1.3\prxtbFilerror.dll (Conduit Ltd.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [emsisoft anti-malware] c:\program files\emsisoft anti-malware\a2guard.exe (Emsisoft GmbH)
O4 - HKLM..\Run: [SDTray] C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.)
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003..\Run: [Spybot-S&D Cleaning] C:\Program Files\Spybot - Search & Destroy 2\SDCleaner.exe (Safer-Networking Ltd.)
O4 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003..\Run: [Ukdukacai] C:\Users\Bille\AppData\Roaming\Nyvu\quysa.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4 File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office2010.microsoft.com/sites/production/ieawsdc32.cab (Microsoft Office Template and Media Control)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {3DF6983D-D415-4AE5-8106-43987731DAA5} hxxp://shop.aldi-fotoservice-druck.de/shop/activex/aldi_nord_express_upload.cab (AldiActiveFormX Element)
O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab (CeWe Color AG & Co. OHG Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} hxxp://game12.zylom.com/activex/zylomgamesplayer.cab (Zylom Games Player)
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-31-0.cab (EPUImageControl Class)
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} https://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab (IPSUploader4 Control)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {D8AA889B-2C65-47C3-8C16-3DCD4EF76A47} hxxp://rms2.invokesolutions.com/events/bin/6.2.0.1450/MILive.cab (Reg Error: Key error.)
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F560} hxxp://download.flatcast.net/objects/NpFv522.dll (Flatcast Viewer 5.2)
O16 - DPF: Garmin Communicator Plug-In https://static.garmincdn.com/gcp/ie/4.0.1.0/GarminAxControl_32.CAB (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{00A3DA5D-A255-433F-B7F2-AAFE2114A660}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{07A61B71-A20C-4746-B4CF-C06B9B0AABE0}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) -  File not found
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img10.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img10.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - Unable to obtain root file information for disk D:\
O32 - AutoRun File - [1998.10.03 14:11:18 | 000,000,027 | R--- | M] () - E:\autorun.inf -- [ CDFS ]
O33 - MountPoints2\{404eed46-d57b-11dc-bf8c-806e6f6e6963}\Shell - "" = AutoRun
O33 - MountPoints2\{404eed46-d57b-11dc-bf8c-806e6f6e6963}\Shell\AutoRun\command - "" = E:\Start.exe -- [2007.11.15 21:13:32 | 000,143,480 | R--- | M] (MatchWare A/S)
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.17 22:57:43 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Bille\Documents\Desktop\OTL.exe
[2013.02.16 20:50:05 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2013.02.16 20:50:04 | 000,607,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2013.02.16 20:50:04 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2013.02.16 20:50:04 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2013.02.16 20:50:04 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2013.02.16 20:50:03 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2013.02.16 20:50:03 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2013.02.16 20:50:01 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2013.02.16 15:46:33 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Penou
[2013.02.16 15:46:33 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Nyvu
[2013.02.16 15:46:33 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Ciuze
[2013.02.16 15:07:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Emsisoft Anti-Malware
[2013.02.16 14:15:43 | 002,048,512 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2013.02.16 14:15:14 | 001,314,816 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\quartz.dll
[2013.02.16 14:15:13 | 003,602,808 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2013.02.16 14:15:13 | 003,550,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2013.02.16 09:13:34 | 000,000,000 | ---D | C] -- C:\Program Files\Emsisoft Anti-Malware
[2013.02.16 09:13:34 | 000,000,000 | ---D | C] -- C:\Users\Bille\Documents\Anti-Malware
[2013.02.14 23:39:22 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Xatah
[2013.02.14 23:39:22 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Unfiho
[2013.02.14 23:39:22 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Oqky
[2013.02.11 20:45:36 | 000,000,000 | ---D | C] -- C:\ProgramData\WindowsSearch
[2013.02.11 14:28:29 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Repair
[2013.02.09 20:54:45 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013.02.09 20:54:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2
[2013.02.09 20:54:32 | 000,015,224 | ---- | C] (Safer Networking Limited) -- C:\Windows\System32\sdnclean.exe
[2013.02.09 20:54:28 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy 2
[2013.02.03 18:16:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.02.03 18:16:16 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2010.02.22 01:38:14 | 000,250,544 | ---- | C] (KeyWorks Software) -- C:\Program Files\Common Files\keyhelp.ocx
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.17 22:57:59 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Bille\Documents\Desktop\OTL.exe
[2013.02.17 22:47:15 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.02.17 22:47:05 | 000,000,314 | ---- | M] () -- C:\Windows\tasks\GlaryInitialize.job
[2013.02.17 22:47:04 | 000,003,696 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.17 22:47:03 | 000,003,696 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.17 22:47:01 | 000,000,356 | ---- | M] () -- C:\Windows\tasks\UpdateDetector.job
[2013.02.17 22:46:59 | 000,000,620 | ---- | M] () -- C:\Windows\tasks\Check for updates (Spybot - Search & Destroy).job
[2013.02.17 22:46:49 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.02.17 22:44:12 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.02.17 20:42:24 | 276,546,172 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2013.02.17 20:22:27 | 000,374,784 | ---- | M] () -- C:\Users\Bille\Documents\Desktop\GMER_2.1.18952.exe
[2013.02.17 09:50:14 | 000,638,748 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.02.17 09:50:14 | 000,604,364 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.02.17 09:50:14 | 000,130,700 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.02.17 09:50:14 | 000,107,800 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.02.16 20:58:51 | 000,585,408 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.02.16 15:07:50 | 000,000,904 | ---- | M] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2013.02.11 21:07:57 | 000,001,447 | ---- | M] () -- C:\Users\Bille\Documents\Desktop\System Repair.lnk
[2013.02.11 14:32:00 | 000,000,160 | ---- | M] () -- C:\ProgramData\-WnoFQbjneGr
[2013.02.11 14:32:00 | 000,000,152 | ---- | M] () -- C:\ProgramData\-WnoFQbjneG
[2013.02.11 14:31:49 | 000,000,088 | ---- | M] () -- C:\ProgramData\WnoFQbjneG
[2013.02.10 11:01:45 | 000,000,616 | ---- | M] () -- C:\Windows\tasks\Refresh immunization (Spybot - Search & Destroy).job
[2013.02.10 11:01:45 | 000,000,446 | ---- | M] () -- C:\Windows\tasks\Scan the system (Spybot - Search & Destroy).job
[2013.02.02 11:55:25 | 000,055,808 | ---- | M] () -- C:\Users\Bille\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.01.23 22:12:43 | 000,001,916 | ---- | M] () -- C:\Users\Bille\Documents\Desktop\dhl-nachforschungsauftrag-national-01-2011.fdf
[2013.01.20 21:13:20 | 000,835,876 | ---- | M] () -- C:\Users\Bille\Documents\Desktop\dhl-nachforschungsauftrag-national-01-2011.pdf
[2013.01.20 20:49:41 | 000,056,438 | ---- | M] () -- C:\Users\Bille\Documents\Desktop\Päckchen.JPG
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.17 20:22:27 | 000,374,784 | ---- | C] () -- C:\Users\Bille\Documents\Desktop\GMER_2.1.18952.exe
[2013.02.17 16:08:36 | 276,546,172 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2013.02.16 15:07:50 | 000,000,904 | ---- | C] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2013.02.11 14:28:29 | 000,001,447 | ---- | C] () -- C:\Users\Bille\Documents\Desktop\System Repair.lnk
[2013.02.11 11:34:56 | 000,000,160 | ---- | C] () -- C:\ProgramData\-WnoFQbjneGr
[2013.02.11 11:34:56 | 000,000,152 | ---- | C] () -- C:\ProgramData\-WnoFQbjneG
[2013.02.11 11:34:54 | 000,000,088 | ---- | C] () -- C:\ProgramData\WnoFQbjneG
[2013.02.09 20:54:48 | 000,000,446 | ---- | C] () -- C:\Windows\tasks\Scan the system (Spybot - Search & Destroy).job
[2013.02.09 20:54:47 | 000,000,616 | ---- | C] () -- C:\Windows\tasks\Refresh immunization (Spybot - Search & Destroy).job
[2013.02.09 20:54:46 | 000,000,620 | ---- | C] () -- C:\Windows\tasks\Check for updates (Spybot - Search & Destroy).job
[2013.02.09 20:54:37 | 000,001,992 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot-S&D Start Center.lnk
[2013.01.23 22:12:43 | 000,001,916 | ---- | C] () -- C:\Users\Bille\Documents\Desktop\dhl-nachforschungsauftrag-national-01-2011.fdf
[2013.01.20 21:13:19 | 000,835,876 | ---- | C] () -- C:\Users\Bille\Documents\Desktop\dhl-nachforschungsauftrag-national-01-2011.pdf
[2013.01.20 20:49:38 | 000,056,438 | ---- | C] () -- C:\Users\Bille\Documents\Desktop\Päckchen.JPG
[2012.10.31 20:26:25 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2012.08.16 22:36:37 | 000,044,544 | ---- | C] () -- C:\Windows\System32\Gif89.dll
[2012.05.30 22:16:07 | 000,002,277 | ---- | C] () -- C:\Users\Bille\.recently-used.xbel
[2012.02.09 20:04:53 | 000,000,569 | ---- | C] () -- C:\Windows\wiso.ini
[2011.10.17 15:59:41 | 000,003,113 | ---- | C] () -- C:\Windows\System32\atipblag.dat
[2011.05.26 22:12:09 | 000,000,056 | ---- | C] () -- C:\ProgramData\ezsidmv.dat
[2011.02.10 14:38:57 | 000,008,296 | ---- | C] () -- C:\Users\Bille\AppData\Local\d3d9caps.dat
[2010.12.03 20:55:29 | 000,019,456 | ---- | C] () -- C:\Users\Bille\AppData\Local\WebpageIcons.db
[2010.10.24 19:58:27 | 000,034,901 | ---- | C] () -- C:\ProgramData\nvModes.001
[2010.10.24 19:58:26 | 000,034,901 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2009.10.02 07:20:47 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2008.11.22 23:33:15 | 000,047,148 | ---- | C] () -- C:\Users\Bille\AppData\Roaming\mdbu.bin
[2008.07.10 11:36:34 | 000,000,052 | ---- | C] () -- C:\Users\Bille\AppData\Roaming\Default.PLS
[2008.04.01 12:58:16 | 000,000,305 | ---- | C] () -- C:\ProgramData\addr_file.html
[2008.03.05 21:53:19 | 000,055,808 | ---- | C] () -- C:\Users\Bille\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.03.04 23:16:10 | 000,007,962 | ---- | C] () -- C:\Users\Bille\AppData\Roaming\wklnhst.dat
[2008.02.07 14:06:59 | 000,000,093 | ---- | C] () -- C:\Users\Bille\AppData\Local\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2006.11.02 13:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
"ThreadingModel" = Both
"" = shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = fastprox.dll -- [2009.04.11 07:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 07:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

< End of report >
EXTRAS

Code:
OTL Extras logfile created on: 17.02.2013 22:59:01 - Run 1
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Bille\Documents\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 0,67 Gb Available Physical Memory | 33,33% Memory free
4,24 Gb Paging File | 2,12 Gb Available in Paging File | 50,00% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 236,31 Gb Total Space | 20,81 Gb Free Space | 8,81% Space Free | Partition Type: NTFS
Drive D: | 3,73 Gb Total Space | 3,68 Gb Free Space | 98,65% Space Free | Partition Type: FAT32
Drive E: | 1,93 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive Z: | 19,99 Gb Total Space | 9,42 Gb Free Space | 47,14% Space Free | Partition Type: FAT32
 
Computer Name: BILLE-PC | User Name: Bille | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
 
[HKEY_USERS\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- Reg Error: Key error. File not found
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- Reg Error: Value error.
https [open] -- Reg Error: Value error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [Browse with &IrfanView] -- "C:\Program Files\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan)
Directory [CEWE FOTOSCHAU] -- "C:\Program Files\SCHLECKER\SCHLECKER Foto Digital Service\CEWE FOTOSCHAU.exe" -d "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [SCHLECKER Foto Digital Service] -- "C:\Program Files\SCHLECKER\SCHLECKER Foto Digital Service\SCHLECKER Foto Digital Service.exe" "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 1
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe" = C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe:*:Enabled:Spybot-S&D 2 Tray Icon -- (Safer-Networking Ltd.)
"C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe" = C:\Program Files\Spybot - Search & Destroy 2\SDFSSvc.exe:*:Enabled:Spybot-S&D 2 Scanner Service -- (Safer-Networking Ltd.)
"C:\Program Files\Spybot - Search & Destroy 2\SDUpdate.exe" = C:\Program Files\Spybot - Search & Destroy 2\SDUpdate.exe:*:Enabled:Spybot-S&D 2 Updater -- (Safer-Networking Ltd.)
"C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe" = C:\Program Files\Spybot - Search & Destroy 2\SDUpdSvc.exe:*:Enabled:Spybot-S&D 2 Background update service -- (Safer-Networking Ltd.)
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{0053CC02-9A68-C88E-6890-0A749DF9BD7B}" = CCC Help Thai
"{01159E8A-44F7-4885-A7F9-872CE4D74063}" = Steuer 2012
"{0138F525-6C8A-333F-A105-14AE030B9A54}" = Visual C++ 9.0 CRT (x86) WinSXS MSM
"{03ED6584-5A5A-4CA3-B61D-741618E510DF}" = Steuer 2008
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{074A4BFC-19C2-4E5D-8397-2D1C64EED1BA}" = MAGIX Screenshare
"{0805B720-5CD0-143C-E569-149D546A92FA}" = CCC Help Chinese Traditional
"{08A159A1-84A8-4FA7-9319-A7F8D3DBB2BF}" = MAGIX Speed burnR (MSI)
"{08BE0A17-0AB8-4B0C-88E2-EB1B4977A511}" = Lernwerkstatt 8
"{08F32589-5E39-42B8-8BC5-6A8126ED2A70}" = Microsoft Visual C++ 2008 Redistributable Package
"{09298F26-A95C-31E2-9D95-2C60F586F075}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"{0E13CAA3-B5FC-48C0-AA4A-26F5CD0C371C}" = Garmin Lifetime Updater
"{0EFDE8F4-691D-4CB0-B4C1-0BD63B0907FF}" = IncrediMail
"{0F32914F-A633-4516-B531-7084C8F19F93}" = Haufe iDesk-Browser
"{0FBAFFD8-BCBA-4631-97E8-433DE7D1D753}" = Garmin MapInstall
"{11AFE21E-B193-430D-B57A-DFF7815BB962}" = Ulead PhotoImpact 12
"{11B79EBE-12F0-7F67-028C-28763D04522C}" = CCC Help Polish
"{15B2BC56-D179-4450-84B9-7A8D7F4CE1B9}" = Lexware Info Service
"{18A5DFF2-8A95-49F3-873F-743CB5549F3D}" = Canon ScanGear Starter
"{196467F1-C11F-4F76-858B-5812ADC83B94}" = MSXML 4.0 SP3 Parser
"{19901F0F-3857-5E46-FF17-9B5653860B75}" = CCC Help Turkish
"{1D33BCF7-B5B6-4148-B888-9CC2EC208556}" = Konz 2012
"{1E6A4185-C2E8-1AB7-6C05-806C015FFE7E}" = CCC Help Czech
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20B1B020-DEAE-48D1-9960-D4C3185D758B}" = Phase 5 HTML-Editor
"{219BB7DF-83BA-44C6-A362-D17981FBD285}" = GPS Information
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29
"{2747BEA4-A2E1-6513-7524-4DBBC7823E4A}" = CCC Help Chinese Standard
"{27F10580-E040-11DF-8C28-005056B12123}" = Haufe iDesk-Service
"{27FDF949-69CE-435A-8372-339F72336AC5}" = MEDIONbox
"{28E30152-32C5-4152-8C87-6C638E695CEC}" = Steuer Update 15.09
"{2E443D29-FB41-07FB-21E9-852D477570BE}" = CCC Help English
"{307A2BE0-FC2A-5CFB-C948-058D62F4B39D}" = ccc-utility
"{336D0C35-8A85-403a-B9D2-65C292C39087}_is1" = IB Updater 2.0.0.550
"{34EB6245-C8D0-4D8A-B8D8-EEBFF7A91485}" = Firebird SQL Server - MAGIX Edition
"{3776754C-4283-DF7D-F28A-0221CD5F07AE}" = CCC Help Russian
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{3AAFCB5F-5166-46EC-A521-E363C6950A94}" = Steuer Update 15.01
"{3B7458C7-3F03-4415-AC39-D51EDEACDCCC}" = Steuer 2007
"{3B91165A-8616-4C84-A5F3-897B395791F3}" = Show what you know 4
"{3BEFC315-7F74-4F71-B704-2CAF4DC046BB}" = Steuer-Hilfesammlung 2010
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3D3E663D-4E7E-4577-A560-7ECDDD45548A}" = PVSonyDll
"{3F7A9E82-5A85-4119-A8A5-7D840A0F76DC}" = Photo Notifier and Animation Creator
"{410AB9BC-B057-4D39-9260-660EE1B4BED2}" = Steuer 2009
"{451D691A-D425-01D3-B1C7-0A3161878ECE}" = CCC Help Hungarian
"{459699C3-9430-4381-964B-4248D87B49F9}" = Apple Mobile Device Support
"{4785CED6-73B3-45FA-AFE6-EDEDFDE67842}" = Steuer 2011
"{47FDE7DF-E065-EBF3-5CA1-44BB75F05F6A}" = CCC Help Japanese
"{49E54A90-948C-D78B-CECE-9A7B380491F0}" = CCC Help Norwegian
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4A93AD88-E424-F6A3-5620-697FA89AAD14}" = CCC Help Korean
"{4B526075-AF27-47A2-860D-3DA92928A051}" = Steuer 2010
"{4C6B0067-4399-7F36-4C34-18D861D7662E}" = CCC Help French
"{4CF29999-1BB0-42B2-99BB-3A34507F9E3B}" = Steuer Update 15.01
"{4F41AD68-89F2-4262-A32C-2F70B01FCE9E}" = Fotostory 3 für Windows
"{516EF56A-048B-4AED-9906-1366639ACEEE}" = Garmin BaseCamp
"{529125EF-E3AC-4B74-97E6-F688A7C0F1BF}" = Paint.NET v3.5.10
"{55DE01D1-9E39-292C-8DF8-9F753992D548}" = CCC Help Swedish
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{5A4B0298-6C1A-E615-BE09-D65A63AAB2ED}" = Catalyst Control Center Graphics Previews Common
"{5FCCD531-1B38-4A94-924C-127F722F1031}" = Nero 8 Essentials
"{5FD89EA1-99C2-40EE-BBF5-20F8991ED756}" = Catalyst Control Center - Branding
"{6181E138-C21C-471C-9238-F2F59C314C6C}" = Steuer 2008
"{679DDC2F-290E-48E0-B6D3-6972A0A09554}" = Iminent
"{67DABCB4-239C-4E02-805E-DEA0DDCB1926}" = Steuer Hilfesammlung
"{6800642C-2440-4B02-8F88-9F9E3F409E7B}" = Schulberichtsmanager 11
"{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"{6B4AD1A9-E73A-4184-9D6B-072F8A3C5EBA}" = VoiceOver Kit
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{7578ADEA-D65F-4C89-A249-B1C88B6FFC20}" = ICQ7.5
"{76651FD7-2B71-4B61-9F3A-E82F52F08D92}" = Konz 2013
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7A497FCE-53D2-8D70-C497-CD5585953F62}" = CCC Help Spanish
"{7D542452-84EB-47C0-97BA-735C523AB555}" = Garmin Training Center
"{7E05DB3E-6CDD-4116-962F-16BC3DE41A68}" = Steuer Update 14.01
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{88D68A69-D247-466B-90DD-575F6BE16230}_is1" = CardRecovery 6.00
"{8C8E10C4-ACE6-424A-87E6-4B2C4A9607DC}" = MAGIX Fotos auf CD & DVD 10 Deluxe
"{8DAEAEA6-BCA4-450C-9219-A84C81D8E54D}" = PdfGrabber 4.0
"{8F25DADA-F618-4D78-8009-256F8110014A}" = Steuer Update 14.01
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_XWeb_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_XWeb_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_XWeb_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_XWeb_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0045-0000-0000-0000000FF1CE}" = Microsoft Expression Web 2
"{90120000-0045-0407-0000-0000000FF1CE}" = Microsoft Expression Web 2 MUI (German)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_XWeb_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00D1-0407-0000-0000000FF1CE}" = Microsoft Office Access database engine 2007 (German)
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.SingleImage_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.SingleImage_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.SingleImage_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.SingleImage_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.SingleImage_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-003D-0000-0000-0000000FF1CE}" = Microsoft Office Single Image 2010
"{90140000-003D-0000-0000-0000000FF1CE}_Office14.SingleImage_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.SingleImage_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9E13CA8F-3AB9-4acb-81E8-0660D07496D4}" = Canon MP750
"{A440AC73-43D1-D096-B7B8-051E4282F330}" = CCC Help Finnish
"{A6338038-539C-3896-C692-1D33BBB01D46}" = MAGIX Online Druck Service
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A982D950-FAB9-744E-41BE-285082FF86C2}" = CCC Help Italian
"{ABA5E381-EC46-425C-86C5-5CD15BBFB4BF}" = Garmin USB Drivers
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.5) - Deutsch
"{AC76BA86-7AD7-5464-3428-900000000004}" = Spelling Dictionaries Support For Adobe Reader 9
"{AFBAB9A0-DDE8-49AE-8C17-A01B61BEE64B}" = Garmin MapSource
"{B0261E53-B6F1-474A-864B-E7C3CBF468E0}" = iTunes
"{B145EC69-66F5-11D8-9D75-000129760D75}" = MakeDisc
"{B2544A03-10D0-4E5E-BA69-0362FFC20D18}" = OGA Notifier 2.0.0048.0
"{B39A18D0-296E-2B41-4CCC-58AF0B772F8E}" = CCC Help Greek
"{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1" = Spybot - Search & Destroy
"{B6CF2967-C81E-40C0-9815-C05774FEF120}" = Skype Click to Call
"{B754B683-E23C-4583-9312-50AD86836B42}" = Steuer Hilfesammlung
"{BC30E5E7-047D-4232-A7E8-F2CB7CC7B2E0}_is1" = Emsisoft Anti-Malware
"{C6526EF6-214D-20CC-E8B8-2E79BFC0D11E}" = CCC Help Dutch
"{C82185E8-C27B-4EF4-2010-3333BC2C2B6D}" = Microsoft AutoRoute 2010
"{C9A19950-2341-4BA8-8CBD-E9DBF097D638}" = MAGIX Slideshow Maker 2
"{C9A87D86-FDFD-418B-BF96-EF09320973B3}" = PC Inspector smart recovery
"{CA212D9E-EDFB-B0D8-B1D5-05ED5838F6B7}" = ccc-core-static
"{CCE825DB-347A-4004-A186-5F4A6FDD8547}" = Apple Application Support
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240B8}" = WinZip 12.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0ACE207-0F90-402C-8CFA-2CB3D44CE689}" = Adobe Photoshop Lightroom 3.6
"{D642E38E-0D24-486C-9A2D-E316DD696F4B}" = Microsoft XML Parser
"{D95A0957-F389-C180-9660-B48E41FD83D4}" = ATI Catalyst Install Manager
"{DE9069FA-EF9E-25CD-67E7-0242935CCD49}" = HydraVision
"{DEDE10BE-6C0D-6941-95EA-0822D8DE1C90}" = CCC Help Portuguese
"{E1D8FD24-8CC4-9038-0B15-ADBB922DA352}" = CCC Help Danish
"{EC2F8A30-787F-4DA5-9A8F-8E7DFE777CC2}" = Servicepack Datumsaktualisierung
"{ECC3713C-08A4-40E3-95F1-7D0704F1CE5E}" = PL-2303 USB-to-Serial
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F53A6BF7-F720-4354-9EFA-F8E5269B70A4}" = EasyHtml
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F7725A3F-32F6-85C9-1EFA-92C482B35363}" = ATI AVIVO Codecs
"{FA5E8C25-6204-76B9-AB27-866D6A2131C5}" = Catalyst Control Center Localization All
"{FB45F14F-E6F9-796D-86A3-C096B5BEF842}" = CCC Help German
"{FE23D063-934D-4829-A0D8-00634CE79B4A}" = Adobe AIR
"{FE33F0E4-33DD-E7E9-78CB-507306FD0463}" = Catalyst Control Center InstallProxy
"98157A226B40B173301B0F53C8E98C47805D5152" = Windows Driver Package - Garmin (grmnusb) GARMIN Devices  (04/19/2012 2.3.1.0)
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"ALDI Foto Service D" = ALDI Foto Service
"ALDI NORD Bestellsoftware" = ALDI NORD Bestellsoftware 4.12.2
"ALDI Nord Foto Manager Free D" = ALDI Nord Foto Manager Free
"Aldi Nord Fotoservice_is1" = Aldi Nord Fotoservice
"ALDI Nord Online Druck Service D" = ALDI Nord Online Druck Service
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.17
"Ashampoo GetBack Photo_is1" = Ashampoo GetBack Photo v.1.0.1
"Avira AntiVir Desktop" = Avira Free Antivirus
"Beurteilungs-Manager_is1" = Beurteilungs-Manager - Deinstallation
"CANONIJINBOXADDON100" = Canon Inkjet Printer Driver Add-On Module
"CCleaner" = CCleaner
"de.magix-fotos.fotobuch.001F9DF2D0BAABEB11F42CCEE43224607B61109C.1" = MAGIX Online Druck Service
"dradio-Recorder_is1" = dradio-Recorder Version 3.01.6
"Easy-PhotoPrint" = Canon Utilities Easy-PhotoPrint
"Encarta98D" = Microsoft Encarta 98 Enzyklopädie
"etope Lister_is1" = 1.36
"File Recover_is1" = File Recover 7.0
"FileConverter_1.3 Toolbar" = FileConverter 1.3 Toolbar
"FileZilla Client" = FileZilla Client 3.1.5
"FKC22150706_is1" = fotokasten comfort
"Fotosizer" = Fotosizer 1.29
"Free PDF to Word Doc Converter_is1" = Free PDF to Word Doc Converter v1.1
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.11.32.918
"Glary Utilities_is1" = Glary Utilities 2.49.0.1600
"hotpot_is1" = HotPotatoes v 6.3.0.3
"IMBoosterARP" = Iminent
"IncrediMail" = IncrediMail 2.0
"InstallShield_{08BE0A17-0AB8-4B0C-88E2-EB1B4977A511}" = Lernwerkstatt 8
"InstallShield_{1D33BCF7-B5B6-4148-B888-9CC2EC208556}" = Konz 2012
"InstallShield_{69640730-B830-4C24-BB5C-222DA1260548}" = Turbo Lister 2
"InstallShield_{76651FD7-2B71-4B61-9F3A-E82F52F08D92}" = Konz 2013
"IrfanView" = IrfanView (remove only)
"lgx4.lgx.server" = G DATA Logox4 Speechengine
"Linotype FontExplorer X_is1" = Linotype FontExplorer X Public Beta
"MAGIX_MSI_Fotos_auf_CD_DVD_10_Dlx" = MAGIX Fotos auf CD & DVD 10 Deluxe
"MAGIX_MSI_Slideshow_Maker_2" = MAGIX Slideshow Maker 2
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"MediaNavigation.CDLabelPrint" = CD-LabelPrint
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"MP Navigator 1.0" = Canon MP Navigator 1.0
"Notepad++" = Notepad++
"NVIDIA Display Control Panel" = NVIDIA Display Control Panel
"NVIDIA Drivers" = NVIDIA Drivers
"Office14.SingleImage" = Microsoft Office Home and Student 2010
"PDFCreator Toolbar" = PDFCreator Toolbar
"PDF-to-Word 3.1 Demo" = PDF-to-Word 3.1 Demo
"PDFzuWord Professional_is1" = PDFzuWord Professional
"Photo Notifier and Animation Creator" = Photo Notifier and Animation Creator
"Picasa 3" = Picasa 3
"PL Notebook Kompakt" = PL NB Kompakt
"POP3Notify" = POP3Notify
"QueTek File Scavenger 3.2 (de)" = File Scavenger 3.2 (de)
"Radfahrprüfung2" = Radfahrprüfung2
"RAMRush_is1" = RAMRush 1.0.6.917
"RealPlayer 6.0" = RealPlayer
"Recover My Photos_is1" = Recover My Photos
"Recuva" = Recuva
"SCHLECKER Foto Digital Service" = SCHLECKER Foto Digital Service
"Schriftenbibliothek_is1" = Schriftenbibliothek
"Schulschriften Demoversion_is1" = Schulschriften
"WinGimp-2.0_is1" = GIMP 2.6.7
"WinRAR archiver" = WinRAR
"Wise Data Recovery_is1" = Wise Data Recovery 3.14
"XWeb" = Microsoft Expression Web 2 Trial
"Zattoo4" = Zattoo4 4.0.5
"Zero Assumption Recovery_is1" = Zero Assumption Recovery Version 9
"Zeugnismaster XP" = Zeugnismaster XP
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Move Media Player" = Move Media Player
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 13.02.2013 15:07:20 | Computer Name = Bille-PC | Source = System Restore | ID = 8209
Description =
 
Error - 14.02.2013 18:39:38 | Computer Name = Bille-PC | Source = ESENT | ID = 488
Description = WinMail (5388) WindowsMail0: Versuch, Datei "C:\Users\Bille\AppData\Local\Microsoft\Windows
 Mail\WindowsMail.pat" zu erstellen, ist mit Systemfehler 5 (0x00000005): "Zugriff
 verweigert " fehlgeschlagen. Fehler -1032 (0xfffffbf8) beim Erstellen von Dateien.
 
Error - 14.02.2013 18:39:38 | Computer Name = Bille-PC | Source = ESENT | ID = 217
Description = WinMail (5388) WindowsMail0: Fehler (-1032) während der Sicherung
einer Datenbank (Datei C:\Users\Bille\AppData\Local\Microsoft\Windows Mail\WindowsMail.MSMessageStore).
 Die Datenbank kann nicht wiederhergestellt werden.
 
Error - 14.02.2013 18:39:38 | Computer Name = Bille-PC | Source = ESENT | ID = 215
Description = WinMail (5388) WindowsMail0: Die Sicherung wurde abgebrochen, weil
 sie vom Client angehalten wurde, oder weil die Verbindung mit dem Client unterbrochen
 wurde.
 
Error - 16.02.2013 09:01:56 | Computer Name = Bille-PC | Source = Avira Antivirus | ID = 4109
Description = Die Engine wurde verändert oder zerstört!  Fehlercode: 0x9
 
Error - 16.02.2013 19:28:03 | Computer Name = Bille-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung Explorer.EXE, Version 6.0.6002.18005, Zeitstempel
 0x49e01da5, fehlerhaftes Modul SHELL32.dll, Version 6.0.6002.18646, Zeitstempel
 0x4fd23a92, Ausnahmecode 0xc0000005, Fehleroffset 0x0003f2b0,  Prozess-ID 0x250,
Anwendungsstartzeit 01ce0c8eb4bee9b6.
 
Error - 17.02.2013 08:02:12 | Computer Name = Bille-PC | Source = System Restore | ID = 8193
Description =
 
Error - 17.02.2013 08:02:12 | Computer Name = Bille-PC | Source = System Restore | ID = 8210
Description =
 
Error - 17.02.2013 15:52:56 | Computer Name = Bille-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung GMER_2.1.18952.exe, Version 2.1.18952.0, Zeitstempel
 0x511bf088, fehlerhaftes Modul GMER_2.1.18952.exe, Version 2.1.18952.0, Zeitstempel
 0x511bf088, Ausnahmecode 0xc0000005, Fehleroffset 0x00012278,  Prozess-ID 0x5e0,
Anwendungsstartzeit 01ce0d4810c84ed0.
 
Error - 17.02.2013 15:58:04 | Computer Name = Bille-PC | Source = Perflib | ID = 1010
Description =
 
[ Media Center Events ]
Error - 17.04.2008 15:23:16 | Computer Name = Bille-PC | Source = MCUpdate | ID = 0
Description = DownloadPackgeTask.SubTasksComplete: Download von Paket MCESpotlight
 gescheitert.
 
Error - 04.01.2012 16:52:40 | Computer Name = Bille-PC | Source = ehRecvr | ID = 4
Description =
 
[ OSession Events ]
Error - 09.11.2008 05:07:37 | Computer Name = Bille-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6308.5000, Microsoft Office Version: 12.0.4518.1088. This session lasted 190
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 05.01.2009 18:50:23 | Computer Name = Bille-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
 12.0.6331.5000, Microsoft Office Version: 12.0.6215.1000. This session lasted 4528
 seconds with 480 seconds of active time.  This session ended with a crash.
 
Error - 29.04.2009 09:43:11 | Computer Name = Bille-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6331.5000, Microsoft Office Version: 12.0.6215.1000. This session lasted 115
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 23.05.2009 12:05:51 | Computer Name = Bille-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
 12.0.6341.5001, Microsoft Office Version: 12.0.6215.1000. This session lasted 1046
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 01.06.2009 10:00:09 | Computer Name = Bille-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6331.5000, Microsoft Office Version: 12.0.6215.1000. This session lasted 2535
 seconds with 480 seconds of active time.  This session ended with a crash.
 
Error - 16.09.2009 03:11:11 | Computer Name = Bille-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6504.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 897
 seconds with 0 seconds of active time.  This session ended with a crash.
 
Error - 17.10.2009 06:38:02 | Computer Name = Bille-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6504.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 10997
 seconds with 1320 seconds of active time.  This session ended with a crash.
 
[ Spybot - Search and Destroy Events ]
Error - 09.02.2013 18:28:37 | Computer Name = Bille-PC | Source = SDCleaner | ID = 100
Description = LoadCleaningInstructions
 
Error - 11.02.2013 15:35:21 | Computer Name = Bille-PC | Source = SDCleaner | ID = 100
Description = LoadCleaningInstructions
 
Error - 11.02.2013 17:50:03 | Computer Name = Bille-PC | Source = SDCleaner | ID = 100
Description = LoadCleaningInstructions
 
[ System Events ]
Error - 17.02.2013 17:47:14 | Computer Name = Bille-PC | Source = Print | ID = 19
Description = Der Druckspooler konnte den Drucker An OneNote 2010 senden nicht unter
 dem Namen An OneNote 2010 senden freigeben. Fehler: 1753. Der Drucker kann nicht
 von anderen Benutzern im Netzwerk verwendet werden.
 
Error - 17.02.2013 17:48:20 | Computer Name = Bille-PC | Source = Service Control Manager | ID = 7000
Description =
 
Error - 17.02.2013 17:48:20 | Computer Name = Bille-PC | Source = Service Control Manager | ID = 7023
Description =
 
Error - 17.02.2013 17:48:20 | Computer Name = Bille-PC | Source = Service Control Manager | ID = 7003
Description =
 
Error - 17.02.2013 17:48:20 | Computer Name = Bille-PC | Source = Service Control Manager | ID = 7001
Description =
 
Error - 17.02.2013 17:48:20 | Computer Name = Bille-PC | Source = Service Control Manager | ID = 7003
Description =
 
Error - 17.02.2013 17:48:20 | Computer Name = Bille-PC | Source = Service Control Manager | ID = 7003
Description =
 
Error - 17.02.2013 17:48:20 | Computer Name = Bille-PC | Source = Service Control Manager | ID = 7026
Description =
 
Error - 17.02.2013 17:50:27 | Computer Name = Bille-PC | Source = Service Control Manager | ID = 7034
Description =
 
Error - 17.02.2013 17:51:11 | Computer Name = Bille-PC | Source = WMPNetworkSvc | ID = 866293
Description =
 
 
< End of report >
Ich hoffe, dieses Mal klappt das Hochladen.

Viele Grüße
Garfield2704

aharonov 18.02.2013 14:57
Hallo,

Zitat:
Die Festplatte wird jetzt wieder erkannt, allerdings haben die Dateien nur Fragmente ("Kauderwelsch") als Namen.
Kannst du mir bitte ein paar Beispiele für diese "Kauderwelsch"-Dateinamen geben? Kannst du denn diese Dateien noch normal öffnen oder sind sie defekt?


Schritt 1
Code:
%SYSTEMDRIVE%\*.lnk /s
  • Schliesse bitte alle anderen Programme.
  • Klicke nun auf None (deutsch "Nichts") und danach auf den Scan Button.
  • Kopiere danach den Inhalt der OTL.txt hier in deinen Thread.



Schritt 2

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts löschen, sondern nur einen Scan-Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.
  • Starte die TDSSKiller.exe.
  • Drücke Start Scan.
  • Warnung: Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  • TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
  • Poste bitte den Inhalt dieses Logfiles hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von OTL
  • Log von TDSSKiller

Garfield2704 18.02.2013 21:59
Hallo Leo,
die Datein von D lassen sich nicht öffnen. Hier eine Kostprobe der "Namen"

-╩ÍHD]╣┴.#æj
æ▓Wi§fñs.®`

etc. Sehr komische Fragmente.

Leider lässt sich TDSSKiller.exe nicht öffnen.

Das OTL Logfile kann ich leider nicht hochladen, beim Versuch wird angegeben, es ist viel zu groß. Auch als Anhang wird es nicht akzeptiert.

Viele Grüße
Garfield2704

aharonov 18.02.2013 22:09
Hallo,

Zitat:
Auch als Anhang wird es nicht akzeptiert.
Dann packe die Textdatei bitte in ein zip-Archiv (Rechtsklick -> Senden an -> zip-komprimierten Ordner) und hänge dieses hier an.

Garfield2704 18.02.2013 22:22
Hallo Leo,
mein Malware Programm von Emsisoft hat vor ein paar Minuten zwei schadhafte Dateien (.exe)gemeldet. beide auf C: Sind in Quarantäne geschoben worden.

Habe OTL gezippt und angehängt.

Viele Grüße
Garfeld2704

aharonov 18.02.2013 22:57
Hallo,

Zitat:
mein Malware Programm von Emsisoft hat vor ein paar Minuten zwei schadhafte Dateien (.exe)gemeldet.
Kannst du noch einen Bericht finden, was das genau für Dateien (mit vollständigem Pfad) waren?

Kannst du bitte mal versuchen, den TDSSKiller so wie beschrieben im abgesicherten Modus zu starten?

Garfield2704 18.02.2013 23:09
Hallo Leo,
hier die Quarantäneliste. Es sind Nr. 45 und 46

Code:
Emsisoft Anti-Malware v. 7.0.0.18
(C) 2003-2013 Emsisoft - www.emsisoft.com

ID  Object
0    C:\ProgramData\Avira\AntiVir Desktop\INFECTED\558bdc77.qua  Trojan.Sirefef.MC (B)
1    C:\ProgramData\Avira\AntiVir Desktop\INFECTED\541ade43.qua  Trojan.Sirefef.RG (B)
2    C:\$RECYCLE.BIN\S-1-5-21-3778007921-2159278055-2083024639-1003\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@  Trojan.Win32.Conedex.AMN (A)
3    C:\ProgramData\2A26FEA5ABD1BE6200002A26D483C34E\2A26FEA5ABD1BE6200002A26D483C34E.ico  Rogue.Win32.SystemProtection (A)
4    Value: hkey_users\s-1-5-21-3778007921-2159278055-2083024639-1003\software\gamehouse\bigislandblends -> NORMALEXIT  Trace.Registry.GameFiesta Big Island Blends (A)
5    C:\ProgramData\Avira\AntiVir Desktop\INFECTED\541aca20.qua  Trojan.Zbot.HYT (B)
6    C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553df2c2.qua  Trojan.Script.480616 (B)
7    C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5566d5bb.qua  Trojan.Sirefef.RG (B)
8    C:\$RECYCLE.BIN\S-1-5-21-3778007921-2159278055-2083024639-1003\$f44ef113dd481a83252d2572d863fd1f\U\800000cb.@  Trojan.Sirefef.MC (B)
9    C:\ProgramData\Avira\AntiVir Desktop\INFECTED\528ac08b.qua  Trojan.Sirefef.RG (B)
10  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ddee15a.qua  Trojan.Sirefef.MC (B)
11  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\540fd455.qua  Trojan.Sirefef.MC (B)
12  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5768fc43.qua  Trojan.Script.480616 (B)
13  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5559de07.qua  Trojan.Sirefef.MC (B)
14  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55bbf4e1.qua  Trojan.Injector.ANT (B)
15  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4df1fa1c.qua  Trojan.Sirefef.MC (B)
16  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55d3fe4a.qua  Trojan.Script.480616 (B)
17  C:\Users\Bille\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\7268ce85-7e7b7044  Exploit.JAVA.CVE-2012-0507.BO (B)
18  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5425d2ba.qua  Trojan.Sirefef.RG (B)
19  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55a4f973.qua  Trojan.Script.480616 (B)
20  C:\Program Files\PDF-to-Word\demos\p2wagent.exe  Trojan.Win32.PSW.PdfCracker.cx (A)
21  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4d0af5b8.qua  Trojan.Sirefef.MC (B)
22  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5788ffd3.qua  Trojan.Script.480616 (B)
23  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\54cffe19.qua  Trojan.Script.480616 (B)
24  C:\ProgramData\2A26FEA5ABD1BE6200002A26D483C34E\2A26FEA5ABD1BE6200002A26D483C34E.ico  Rogue.Win32.SystemProtection (A)
25  Value: hkey_users\s-1-5-21-3778007921-2159278055-2083024639-1003\software\gamehouse\bigislandblends -> NORMALEXIT  Trace.Registry.GameFiesta Big Island Blends (A)
26  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4de2fb74.qua  Trojan.Sirefef.MC (B)
27  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55d0dc8c.qua  Trojan.Sirefef.MC (B)
28  C:\$RECYCLE.BIN\S-1-5-21-3778007921-2159278055-2083024639-1003\$f44ef113dd481a83252d2572d863fd1f\U\80000000.@  Trojan.Win32.Agent.AMN (A)
29  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5549cefd.qua  Trojan.Sirefef.RG (B)
30  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5575d4d3.qua  Trojan.Sirefef.RG (B)
31  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4a1def2d.qua  Trojan.Sirefef.MC (B)
32  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55c4d6ba.qua  Trojan.Sirefef.MC (B)
33  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5540df9f.qua  Trojan.Sirefef.RG (B)
34  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\559dda1f.qua  Trojan.Sirefef.RG (B)
35  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4d76d6de.qua  Trojan.Script.480616 (B)
36  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\54c1ff0b.qua  Trojan.Script.480616 (B)
37  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55f8c81d.qua  Trojan.Generic.KDV.859530 (B)
38  C:\Users\Bille\AppData\Local\Temp\Temporary Internet Files\Content.IE5\DX2ILFEP\turbo411_com[1].htm  Dropped:Trojan.JS.Agent.ILJ (B)
39  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4c89ebf7.qua  Trojan.Sirefef.MC (B)
40  C:\Program Files\PDF-to-Word\demos\p2wagent.exe  Trojan.Win32.PSW.PdfCracker.cx (A)
41  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5596d135.qua  Trojan.Sirefef.RG (B)
42  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5442f23c.qua  Trojan.Script.480616 (B)
43  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\541ec450.qua  Trojan.Sirefef.RG (B)
44  C:\Users\Bille\AppData\Local\Temp\7.817780274771519E8.exe  Gen:Variant.Zusy.36956 (B)
45  C:\Users\Bille\awt43abr.exe  Gen:Variant.Strictor.22713 (B)
46  C:\Users\Bille\wgsdgsdgdsgsd.exe  Clean
Das andre probiere ich gleich aus.
Gruß Garfield2704

aharonov 18.02.2013 23:21
Ok, ich melde mich dann morgen wieder hier.

aharonov 19.02.2013 09:29
Klappt das mit dem TDSSKiller im abgesicherten Modus oder ebenfalls nicht?

Garfield2704 19.02.2013 12:13
Hallo Leo,
habe das gestern Abend noch ausprobiert mit dem abesicherten Modus, leider auch ohne Erfolg.

Viele Grüße
Garfield2704

aharonov 19.02.2013 12:16
Hallo,

dann probier bitte mal das:


Schritt 1

Downloade dir bitte rKill (by Grinler) von einem dieser Downloadspiegel:Dies sind umbenannte Kopien:Speichere die Datei auf den Desktop.
  • Starte dann das Programm.
  • Nun sollte ein schwarzes Fenster aufgehen und dir anzeigen, dass es läuft.
    Wenn das nicht der Fall ist, lösche die vorhandene Version und benutze einen anderen Downloadlink.
  • Lass das Tool in Ruhe laufen.
  • Am Ende des Suchlaufs erscheint eine Meldung. Bestätige diese mit Ok.
  • RKill öffnet automatisch die Logdatei. Poste diese bitte mit deiner nächsten Antwort.
  • Du findest die Logdatei (Rkill.txt) auch auf deinem Desktop.
Sollte es bei keinem der aufgeführten Downloadlinks laufen, teile mir das bitte mit.



Schritt 2

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinen Desktop.
  • Starte die aswMBR.exe.
    Vista und Win7 User mit Rechtsklick "als Admininstartor ausführen".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von avast! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff aufs Internet zulassen.)
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte, bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere die Datei auf dem Desktop.
Poste mir diese aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung.

Hinweis: Sollte der Scan Button ausgeblendet sein, schliesse das Tool und starte es erneut. Sollte es erneut nicht klappen, teile mir das bitte mit.



Bitte poste in deiner nächsten Antwort:
  • Log von Rkill
  • Log vo aswMBR

Garfield2704 19.02.2013 13:38
Hallo Leo,

das erste Programm hat geklappt. Das zweite leider nicht, lässt sich auch mit Rechtsklick (Administrator) nicht starten.

Anbei Rkill LOG

Code:
Rkill 2.4.7 by Lawrence Abrams (Grinler)
hxxp://www.bleepingcomputer.com/
Copyright 2008-2013 BleepingComputer.com
More Information about Rkill can be found at this link:
 hxxp://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 02/19/2013 01:28:31 PM in x86 mode.
Windows Version: Windows Vista (TM) Home Premium Service Pack 2

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * SMTMP folder detected. Please see this link for more information: hxxp://www.bleepingcomputer.com/forums/topic405109.html

Checking Windows Service Integrity:

 * Windows-Firewallautorisierungstreiber (mpsdrv) is not Running.
  Startup Type set to: Manual

 * BFE [Missing Service]
 * iphlpsvc [Missing Service]
 * MpsSvc [Missing Service]
 * WinDefend [Missing Service]
 * wscsvc [Missing Service]

 * SharedAccess [Missing ImagePath]

Searching for Missing Digital Signatures:

 * No issues found.

Checking HOSTS File:

 * Cannot edit the HOSTS file.
 * Permissions could not be fixed. Use Hosts-perm.bat to fix permissions: hxxp://www.bleepingcomputer.com/download/hosts-permbat/

 * HOSTS file entries found:

  127.0.0.1      localhost
  ::1            localhost

Program finished at: 02/19/2013 01:28:47 PM
Execution time: 0 hours(s), 0 minute(s), and 16 seconds(s)
Viele Grüße
Garfield2704

aharonov 19.02.2013 14:09
Hallo,

versuchen wir mal, von ausserhalb einen Blick in das System zu werfen:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:
Variante 1 - Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während des Hochfahrens drücke mehrmals die F8 Taste.
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und boote von der CD.
  • Wähle die Spracheinstellungen und klicke Weiter.
  • Klicke auf Computerreparaturoptionen.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
  • Gib nun bitte notepad ein und drücke Enter.
    • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
    • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
    • Schliesse Notepad wieder.
  • Gib nun bitte folgenden Befehl ein und drücke Enter:
    e:\frst.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan.
Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Log von FRST

Garfield2704 19.02.2013 20:29
Hallo Leo,
bevor ich etwas alsches mache, will ich mich vorher noch einmal vergewissern.

Ich habe jetzt von der DVD gebootet, da kommt sofort Systemwiederherstellung. Dann öffnet sich ein Fenster, wo man hingewiesen wird, das man alle Daten von C erst sichern soll, da diese verloren gingen.
Jetzt gerade sehe ich im enster "Systemwiederherstellung ohne Datensicherung". Ich konnte auch vorher nichts anderes anklicken, wie Reparatur oder so etwas.
Nun habe ich aber Angst, dass dann alle Daten weg sind, das wäre ja der Supergau für mich.

Viele Grüße
Garfield2704

aharonov 19.02.2013 21:27
Hallo,

nein mach keine dieser Wiederherstellungen!
Wenn du deine Daten nicht anderweitig gesichert hast, dann kopiere diese jetzt über ein Live-System auf einen externen Datenträger (z.B. externe Festplatte, USB-Sticks, etc.).
Hier ist die Anleitung dazu: http://www.trojaner-board.de/82533-d...ted-magic.html

Einfach genau wie beschrieben eine bootbare CD oder USB-Stick erstellen und dann davon starten und alle deine Daten, die du behalten willst, extern sichern.
So dass es dir nichts mehr ausmachen würde, wenn alle Daten auf dem Computer gelöscht würden.
Alles klar? Sonst frag einfach nach.

Sobald du deine Daten in Sicherheit hast, können wir hier weitermachen.

Garfield2704 19.02.2013 22:21
Hallo Leo,
ja, ich habe verstanden. Ich habe von Zeit zu Zeit auch eine Datensicherung gemacht, allerdings auf die extrene Festplatte, die als D: angezeigt wird. Wie ich schon geschrieben habe, werden die Namen der Dateien darauf nur als Fragmente angezeigt und sie lassen sich auch nicht öffnen. Kann man da noch etwas machen???
Ansonsten, kann ich die Festplatte doch zum Sichern nehmen??? Es sind einach zu viele Daten, die passen nicht auf ein anderes Medium.

Viele Grüße
Garfield2704

aharonov 19.02.2013 22:33
Hallo,

ich hab im Moment keine Ahnung, was mit diesen Daten auf D: mit den seltsamen Dateinamen los ist. Ob das ein Problem in Windows ist oder ob man dieser Festplatte nicht mehr trauen kann..
Ich schlage vor, du bootest den Rechner mal wie oben beschrieben in das Live-System Parted Magic und schaust von dort, wie diese Dateien auf der externen Festplatte aussehen.
Und wenn du gar kein Risiko eingehen willst, dann besorg dir am besten eine andere externe Festplatte und kopiere über Parted Magic nochmals alle deine persönlichen Daten (Fotos, Dokumente, etc.), welche in diesem Computer gespeichert sind, darauf. (Sodass es egal wäre, wenn nachher sämtliche Daten auf diesem Rechner verloren gingen.)

Garfield2704 22.02.2013 00:55
Hallo Leo,
Mit einem Stick hat es nicht geklappt, das Brennen der CD wohl auch nicht. Ich habe mir jetzt eine externe Festplatte bestellt. Auf die Lieferung muss ich jetzt warten. Kann ich die Daten nicht auch so sichern, ohne Parted Magic?
Viele Grüße
Garfield2704

aharonov 22.02.2013 11:16
Hallo Garfield2704,

was hat denn mit Parted Magic genau nicht geklappt? Konntest du nicht von USB-Stick/CD booten (so wie hier beschrieben)?

Über Live-CD ist immer sicherer, aber du kannst es sonst schon auch normal machen. Nimm aber nur deine persönlichen Daten mit und kopiere nicht einfach pauschal ganze Ordner, von denen du nicht weisst, was genau alles drin ist.

Garfield2704 22.02.2013 22:52
Hallo Leo,
ich habe es nochmal mit einer bootfähigen CD probiert. Mit meinem Nero hat es nicht funktioniert, habe nach Anleitung das Programm CDBurnerXP genommen.
Da war es dann kein Problem.
Habe den Computer mit dem Partedmagic gebootet, hat auch geklappt.
Es gibt jetzt den neuen Bildschirm, ich hoffe, ich bekomme das Sichern hin, es sieht doch alles ganz anders aus. Morgen kommt meine neue Festplatte, dann kann ich alle erforderlichen Daten sichern.
Viele Grüße
Garfield2704

aharonov 22.02.2013 23:20
Hallo,

prima. :daumenhoc
Du bekommst das Sichern bestimmt hin und sonst frag einfach hier nach.
Hast du auf Parted Magic schon mal nachgesehen, ob deine Dateien auf der bestehenden externen Festplatte ebenfalls defekt erscheinen?

Melde dich einfach wieder, sobald du wirklich alles gesichert hast und dann schauen wir, wie wir deinen Computer wieder lauffähig hinbekommen.

Garfield2704 24.02.2013 23:04
Hallo Leo,
leider bootet der Pc nicht mehr mit der CD. Wird immer ein Fehler (Lesefehler) angezeigt und dann muss ich mit exit rausgehen. Ich habe jetzt alle Dateien herkömmlich auf die neue Festplatte gesichert.

Viele Grüße
Garfield2704

aharonov 24.02.2013 23:30
Hallo,

das läuft jetzt doch ein wenig harzig bei dir. ;)
Also, du hast jetzt alle Dateien in Sicherheit gebracht, die du behalten willst, so dass es dir nichts mehr ausmachen würde, alle Daten auf dem Computer zu verlieren?

Garfield2704 24.02.2013 23:35
Hallo Leo,
ja habe ich, ist alles gesichert.
Die Programme kann man ja wieder aufspielen. Ansonsten alle Privatdateien, Music etc. gesichert.

Gruß Garfield2704

aharonov 24.02.2013 23:55
Hallo,

Zitat:
Die Programme kann man ja wieder aufspielen. Ansonsten alle Privatdateien, Music etc. gesichert.
Genau, Programme müsste man halt neu installieren. Aber die privaten Daten sind das Wichtige. Gut, dann jetzt weiter.

Versuch bitte nochmals das Folgende, aber über die Variante 1 - Über den Boot Manager:


Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:
Variante 1 - Über den Boot Manager
  • Starte den Rechner neu auf.
  • Während des Hochfahrens drücke mehrmals die F8 Taste.
  • Wähle nun Computer reparieren.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD
  • Lege die Windows CD in dein Laufwerk.
  • Starte den Rechner neu auf und boote von der CD.
  • Wähle die Spracheinstellungen und klicke Weiter.
  • Klicke auf Computerreparaturoptionen.
  • Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.
  • Gib nun bitte notepad ein und drücke Enter.
    • Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
    • Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
    • Schliesse Notepad wieder.
  • Gib nun bitte folgenden Befehl ein und drücke Enter:
    e:\frst.exe
    Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
  • Akzeptiere den Disclaimer mit Yes und klicke Scan.
Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.



Bitte poste in deiner nächsten Antwort:
  • Log von FRST

Garfield2704 25.02.2013 00:20
Hallo Leo,
zuvor noch eine Frage. Habe das Tool auf einen Stick gespeichert. Wenn ich beim Booten F8 drücke, dann erscheint das Boot Menü (Please select boot device). Muss ich dann die Festplatte wählen??? Aber dann startet der Computer normal, es kommt nicht diese Option. Ich galube, das kommt erst beim Booten von der Windows Recovery CD, da gibt es eine Reparaturoption, aber ich weiß nicht, ob es dann mit Eingabeaufforderung möglich ist.
Oder gibt es noch eine andere Taste, mit der ich das Bootmenü (Reparatur) aufrufen kann.

Viele Grüße
Garfield2704

aharonov 25.02.2013 00:41
Hallo,

geh einfach so vor, wie wenn du in einen abgesicherten Modus starten möchtest. Dann solltest du dort auch die Option Computer reparieren oder ähnlich haben.
(Festplatte als boot device auswählen, und danach weiterhin F8 drücken.)

Wenn es das nicht gibt, dann versuch nochmals, mit der Windows CD zu booten und dann dort Computerreperaturoptionen -> Eingabeaufforderung zu wählen.

Garfield2704 25.02.2013 00:53
Hallo Leo,

vielen Dank erst einmal. Ich melde mich morgen.

Viele Grüße
Garfield2704

aharonov 25.02.2013 00:56
Hallo Garfield2704,

ok, in Ordnung, gute Nacht. :)

Garfield2704 25.02.2013 16:40
Hallo Leo,
habe jetzt gebootet, schwarzer Bildschirm erschien, da habe ich dann "Abgesicherter Modus mit Eingabeaufforderung" gewählt. Ist das so okay???
Jetzt ist ein schwarzes Fenster auf, da steht oben: Administrator: cmd.exe
Soll ich dort "notepad" eingeben oder ist das falsch? Dann müsste ich nochmal die Recovery-CD von Vista (Treiber enthalten und Systemreparatur) bemühen.

Viele Grüße
Garfield2704

aharonov 25.02.2013 16:43
Hallo,

Zitat:
da habe ich dann "Abgesicherter Modus mit Eingabeaufforderung" gewählt.
Nein, das ist etwas anderes. :)

Dann versuch bitte nochmals, ob du mit der Windows-CD in die Reperaturoptionen mit der Eingabeaufforderung kommst, so wie beschrieben.

Garfield2704 25.02.2013 20:45
Hallo Leo, habe jetzt den Computer von CD gebootet.
Auf dem Bildschirm steht jetzt folgendes:
Systemwiederherstellung ohne Datensicherung

Ihr Betriebssystem wird wiederhergestellt bzw. installiert. Alle Daten auf dem laufwerk C: werden gelöscht. Sichern Sie vorher bitte unbedingt Ihre eigenen daten auf externe Speichermedien.
Ich kann anwählen Abbruch/ zurück/ Fertigstellen.
Ich bin mir eben nicht sicher, dass, wenn ich auf Fertigstellen drücke, ich auch in die Eingabeaufforderung komme. Ich denke eher, das geht dann alles automatisch.

Viele Grüße
Garfield2704

aharonov 25.02.2013 20:59
Hallo,

nein, das ist auch nicht das Gewünschte. :)
Dann lassen wir das halt mal bleiben.
Starte Windows bitte normal auf und mach einen neuen OTL-Scan.
(Frage nebenbei: Sind jetzt wieder alle deine Dateien und die Icons auf dem Desktop und im Startmenü sichtbar, oder fehlen noch welche?)


Starte bitte die OTL.exe.
  • Setze den Haken bei Scan all Users.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.

Garfield2704 25.02.2013 21:12
Hallo Leo,

ich habe gelesen, das die sogenannten Recovery-CD´s, die mit den Computern ausgeliefert werden, keine vollständige Vista-Version draufhaben. das System wird bei der Reparaturoption wieder in den Ausgangszustand bei Auslieferung gesetzt.
Es gibt aber ein Programm, wo man auch reparieren kann, heißt Windows Vista Recovery Disc . Vielleicht ist das einen Versuch wert??

Ansonsten erkenne ich eigentlich alle Icons wieder, es fehlen "nur" das Mailprogramm und der Explorer.

OTL läuft gerade, ich poste es dann.

Viele Grüße
Garfield2704

Hallo Leo,
hier kommt OTL.exe

OTL Logfile:
Code:
OTL logfile created on: 25.02.2013 21:07:24 - Run 3
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Bille\Documents\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 0,96 Gb Available Physical Memory | 48,11% Memory free
4,24 Gb Paging File | 2,61 Gb Available in Paging File | 61,57% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 236,31 Gb Total Space | 18,56 Gb Free Space | 7,86% Space Free | Partition Type: NTFS
Drive D: | 931,28 Gb Total Space | 181,73 Gb Free Space | 19,51% Space Free | Partition Type: FAT32
Drive E: | 2,96 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive F: | 3,73 Gb Total Space | 3,70 Gb Free Space | 99,33% Space Free | Partition Type: FAT32
Drive Z: | 19,99 Gb Total Space | 9,42 Gb Free Space | 47,14% Space Free | Partition Type: FAT32
 
Computer Name: BILLE-PC | User Name: Bille | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.23 21:28:57 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2013.02.23 21:18:49 | 000,079,584 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2013.02.23 21:18:32 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.02.23 21:18:23 | 000,385,248 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.02.17 22:57:59 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Bille\Documents\Desktop\OTL.exe
PRC - [2013.02.16 15:14:21 | 003,089,320 | ---- | M] (Emsisoft GmbH) -- C:\Programme\Emsisoft Anti-Malware\a2service.exe
PRC - [2013.02.16 15:14:20 | 003,365,288 | ---- | M] (Emsisoft GmbH) -- C:\Programme\Emsisoft Anti-Malware\a2guard.exe
PRC - [2012.12.18 15:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2012.11.20 15:09:00 | 000,188,760 | ---- | M] () -- C:\Programme\IB Updater\ExtensionUpdaterService.exe
PRC - [2012.11.13 14:08:12 | 003,487,240 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy 2\SDUpdate.exe
PRC - [2012.11.13 14:08:08 | 003,825,176 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy 2\SDTray.exe
PRC - [2012.11.13 14:07:20 | 001,369,624 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy 2\SDUpdSvc.exe
PRC - [2012.11.13 14:07:16 | 001,103,392 | ---- | M] (Safer-Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy 2\SDFSSvc.exe
PRC - [2012.02.16 12:49:28 | 002,310,544 | ---- | M] (WIBU-SYSTEMS AG) -- C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe
PRC - [2011.01.26 23:55:54 | 000,393,216 | ---- | M] (AMD) -- C:\Windows\System32\atieclxx.exe
PRC - [2011.01.26 23:55:24 | 000,176,128 | ---- | M] (AMD) -- C:\Windows\System32\atiesrxx.exe
PRC - [2009.08.27 17:09:10 | 001,253,376 | ---- | M] (MAGIX AG) -- C:\Programme\Common Files\MAGIX Services\Database_146bec2\bin\FABS.exe
PRC - [2009.04.11 07:28:03 | 001,233,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Sidebar\sidebar.exe
PRC - [2009.04.11 07:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2007.04.13 18:14:28 | 000,016,384 | ---- | M] (Empolis GmbH) -- C:\Programme\Medion\MEDIONbox\Program\GCS.exe
PRC - [2001.11.12 13:31:48 | 000,020,480 | ---- | M] (X10) -- C:\Programme\Common Files\X10\Common\X10nets.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.11.13 14:06:32 | 000,158,624 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\snlFileFormats150.bpl
MOD - [2012.11.13 14:06:30 | 000,108,960 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\snlThirdParty150.bpl
MOD - [2012.11.13 14:06:28 | 000,554,400 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\VirtualTreesDXE150.bpl
MOD - [2012.11.13 14:06:28 | 000,528,288 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\JSDialogPack150.bpl
MOD - [2012.11.13 14:06:28 | 000,416,160 | ---- | M] () -- C:\Programme\Spybot - Search & Destroy 2\DEC150.bpl
MOD - [2011.09.27 07:23:00 | 000,087,912 | ---- | M] () -- C:\Programme\Common Files\Apple\Apple Application Support\zlib1.dll
MOD - [2011.09.27 07:22:40 | 001,242,472 | ---- | M] () -- C:\Programme\Common Files\Apple\Apple Application Support\libxml2.dll
MOD - [2011.01.26 23:11:58 | 000,023,040 | ---- | M] () -- C:\Windows\System32\atitmpxx.dll
MOD - [2008.10.22 11:50:44 | 000,094,720 | ---- | M] () -- C:\Programme\FileZilla FTP Client\fzshellext.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Program Files\Spybot -- (SDWSCService)
SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SDUpdateService)
SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SDScannerService)
SRV - [2013.02.23 21:28:57 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.02.23 21:18:32 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2013.02.16 15:14:21 | 003,089,320 | ---- | M] (Emsisoft GmbH) [Auto | Running] -- C:\Programme\Emsisoft Anti-Malware\a2service.exe -- (a2AntiMalware)
SRV - [2012.12.18 15:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.11.20 15:09:00 | 000,188,760 | ---- | M] () [Auto | Running] -- C:\Programme\IB Updater\ExtensionUpdaterService.exe -- (IB Updater)
SRV - [2012.07.13 12:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.02.16 12:49:28 | 002,310,544 | ---- | M] (WIBU-SYSTEMS AG) [Auto | Running] -- C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe -- (CodeMeter.exe)
SRV - [2011.01.26 23:55:24 | 000,176,128 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility)
SRV - [2010.01.09 20:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 20:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.08.27 17:09:10 | 001,253,376 | ---- | M] (MAGIX AG) [Auto | Running] -- C:\Program Files\Common Files\MAGIX Services\Database_146bec2\bin\FABS.exe -- (Fabs)
SRV - [2008.11.04 00:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2008.08.07 11:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Common Files\MAGIX Services\Database_146bec2\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2008.01.19 08:33:39 | 000,896,512 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2007.04.13 18:14:26 | 000,036,864 | ---- | M] (Empolis GmbH) [Auto | Stopped] -- c:\Programme\Common Files\Gnab\Service\ServiceController.exe -- (GnabService)
SRV - [2001.11.12 13:31:48 | 000,020,480 | ---- | M] (X10) [Auto | Running] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\NETFWDSL.SYS -- (NETFWDSL)
DRV - File not found [File_System | On_Demand | Stopped] -- C:\Windows\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - [2013.02.23 21:31:42 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2013.02.23 21:31:42 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2013.02.23 21:31:39 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2013.02.23 21:31:36 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.04.30 18:45:28 | 000,054,072 | ---- | M] (Emsisoft GmbH) [File_System | On_Demand | Running] -- C:\Programme\Emsisoft Anti-Malware\a2accx86.sys -- (a2acc)
DRV - [2012.04.30 18:45:00 | 000,037,856 | ---- | M] (Emsisoft GmbH) [File_System | System | Running] -- C:\Programme\Emsisoft Anti-Malware\a2dix86.sys -- (a2injectiondriver)
DRV - [2011.12.19 01:12:06 | 000,697,328 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2011.05.19 14:10:34 | 000,017,904 | ---- | M] (Emsi Software GmbH) [Kernel | System | Running] -- C:\Programme\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA)
DRV - [2011.01.27 00:36:14 | 007,566,848 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (amdkmdag)
DRV - [2011.01.26 23:13:10 | 000,238,592 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmpag.sys -- (amdkmdap)
DRV - [2010.11.17 13:04:12 | 000,097,296 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\AtihdLH3.sys -- (AtiHDAudioService)
DRV - [2010.05.05 09:40:32 | 000,011,776 | ---- | M] (Emsi Software GmbH) [Kernel | System | Running] -- C:\Programme\Emsisoft Anti-Malware\a2util32.sys -- (a2util)
DRV - [2010.04.03 21:55:32 | 011,573,800 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2009.11.19 13:32:02 | 000,081,920 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ser2pl.sys -- (Ser2pl)
DRV - [2008.01.09 12:28:34 | 000,027,632 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\seehcri.sys -- (seehcri)
DRV - [2008.01.08 08:17:08 | 001,302,368 | ---- | M] (NXP Semiconductors Germany GmbH) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\3xHybrid.sys -- (3xHybrid)
DRV - [2007.12.10 14:22:22 | 000,110,120 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017unic.sys -- (s3017unic)
DRV - [2007.12.10 14:22:22 | 000,100,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017obex.sys -- (s3017obex)
DRV - [2007.12.10 14:22:20 | 000,104,616 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017mgmt.sys -- (s3017mgmt)
DRV - [2007.12.10 14:22:20 | 000,025,512 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017nd5.sys -- (s3017nd5)
DRV - [2007.12.10 14:22:18 | 000,110,632 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017mdm.sys -- (s3017mdm)
DRV - [2007.12.10 14:22:18 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017mdfl.sys -- (s3017mdfl)
DRV - [2007.12.10 14:22:14 | 000,083,880 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017bus.sys -- (s3017bus)
DRV - [2007.11.18 02:39:50 | 001,040,544 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvmfdx32.sys -- (NVENETFD)
DRV - [2007.10.31 11:23:20 | 000,115,744 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\nvstor32.sys -- (nvstor32)
DRV - [2007.09.21 10:38:22 | 000,554,496 | ---- | M] (Ralink Technology Corp.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\netr28u.sys -- (netr28u)
DRV - [2007.07.07 14:13:10 | 000,012,032 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvsmu.sys -- (nvsmu)
DRV - [2006.11.30 15:18:18 | 000,027,416 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\x10ufx2.sys -- (XUIF)
DRV - [2006.11.17 10:31:04 | 000,013,976 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\x10hid.sys -- (X10Hid)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
IE - HKLM\..\URLSearchHook:  - No CLSID value found
IE - HKLM\..\URLSearchHook: {78e516ef-11de-47a1-8364-a99b917ec5ee} - C:\Programme\FileConverter_1.3\prxtbFilerror.dll (Conduit Ltd.)
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found
IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2431245
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
 
 
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar =
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page =
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\.DEFAULT\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar =
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page =
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-18\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.focus.de/
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\URLSearchHook: {78e516ef-11de-47a1-8364-a99b917ec5ee} - C:\Programme\FileConverter_1.3\prxtbFilerror.dll (Conduit Ltd.)
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\SearchScopes,DefaultScope = {CDE97567-36EB-4070-AAE2-54FEF0C2AC45}
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\SearchScopes\{C311C248-D7DE-4619-BBA2-271264ECF7E9}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3241949
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\SearchScopes\{CDE97567-36EB-4070-AAE2-54FEF0C2AC45}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA_de
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.3088: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.3146: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.11.3006: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: C:\Users\Bille\AppData\Roaming\Move Networks\plugins\071802000001\npqmp071802000001.dll (Move Networks)
FF - HKCU\Software\MozillaPlugins\@www.flatcast.com/FlatViewer 5.2: C:\Windows\DOWNLO~1\NpFv522.dll ()
FF - HKCU\Software\MozillaPlugins\amazon.com/AmazonMP3DownloaderPlugin: C:\Program Files\Amazon\MP3 Downloader\npAmazonMP3DownloaderPlugin101753.dll (Amazon.com, Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2008.01.14 12:40:52 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox [2012.12.10 13:59:20 | 000,000,000 | ---D | M]
 
[2011.04.21 21:40:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bille\AppData\Roaming\mozilla\Extensions
[2009.12.20 23:30:47 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bille\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.04.21 21:40:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bille\AppData\Roaming\mozilla\Extensions\ideskbrowser@haufe.de
 
O1 HOSTS File: ([2006.09.18 22:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O1 - Hosts: ::1            localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Programme\IB Updater\Extension32.dll ()
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O2 - BHO: (FileConverter 1.3 Toolbar) - {78e516ef-11de-47a1-8364-a99b917ec5ee} - C:\Programme\FileConverter_1.3\prxtbFilerror.dll (Conduit Ltd.)
O2 - BHO: (YouTubeAnywhere) - {8015C430-448C-4003-A969-274F7F0F2D9C} - C:\Users\Bille\AppData\LocalLow\YouTubeAnywhere\IE\YouTubeAnywhere.dll (Diego Casorran)
O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Programme\Iminent\IMBooster4Web\Iminent.WebBooster.dll (Iminent)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKLM\..\Toolbar: (FileConverter 1.3 Toolbar) - {78e516ef-11de-47a1-8364-a99b917ec5ee} - C:\Programme\FileConverter_1.3\prxtbFilerror.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\Toolbar\WebBrowser: (PDFCreator Toolbar) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\Toolbar\WebBrowser: (FileConverter 1.3 Toolbar) - {78E516EF-11DE-47A1-8364-A99B917EC5EE} - C:\Programme\FileConverter_1.3\prxtbFilerror.dll (Conduit Ltd.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [emsisoft anti-malware] c:\program files\emsisoft anti-malware\a2guard.exe (Emsisoft GmbH)
O4 - HKLM..\Run: [SDTray] C:\Program Files\Spybot - Search & Destroy 2\SDTray.exe (Safer-Networking Ltd.)
O4 - HKU\S-1-5-19..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-20..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003..\Run: [Spybot-S&D Cleaning] C:\Program Files\Spybot - Search & Destroy 2\SDCleaner.exe (Safer-Networking Ltd.)
O4 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003..\Run: [Ukdukacai] C:\Users\Bille\AppData\Roaming\Nyvu\quysa.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\Software\Policies\Microsoft\Internet Explorer\Recovery present
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4 File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - Reg Error: Key error. File not found
O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy 2\SDHelper.dll (Safer-Networking Ltd.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office2010.microsoft.com/sites/production/ieawsdc32.cab (Microsoft Office Template and Media Control)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {3DF6983D-D415-4AE5-8106-43987731DAA5} hxxp://shop.aldi-fotoservice-druck.de/shop/activex/aldi_nord_express_upload.cab (AldiActiveFormX Element)
O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab (CeWe Color AG & Co. OHG Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} hxxp://game12.zylom.com/activex/zylomgamesplayer.cab (Zylom Games Player)
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-31-0.cab (EPUImageControl Class)
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} https://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab (IPSUploader4 Control)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {D8AA889B-2C65-47C3-8C16-3DCD4EF76A47} hxxp://rms2.invokesolutions.com/events/bin/6.2.0.1450/MILive.cab (Reg Error: Key error.)
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F560} hxxp://download.flatcast.net/objects/NpFv522.dll (Flatcast Viewer 5.2)
O16 - DPF: Garmin Communicator Plug-In https://static.garmincdn.com/gcp/ie/4.0.1.0/GarminAxControl_32.CAB (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{00A3DA5D-A255-433F-B7F2-AAFE2114A660}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{07A61B71-A20C-4746-B4CF-C06B9B0AABE0}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\SDWinLogon: DllName - (SDWinLogon.dll) -  File not found
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img10.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img10.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.23 21:54:01 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Avira
[2013.02.23 21:48:05 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira
[2013.02.23 21:47:51 | 000,134,336 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2013.02.23 21:47:51 | 000,083,944 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
[2013.02.23 21:47:51 | 000,036,552 | ---- | C] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2013.02.23 21:47:44 | 000,000,000 | ---D | C] -- C:\ProgramData\Avira
[2013.02.23 21:47:44 | 000,000,000 | ---D | C] -- C:\Program Files\Avira
[2013.02.22 01:02:56 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Canneverbe Limited
[2013.02.22 01:02:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Canneverbe Limited
[2013.02.22 01:02:35 | 000,000,000 | ---D | C] -- C:\Program Files\CDBurnerXP
[2013.02.22 01:00:57 | 005,232,040 | ---- | C] (Canneverbe Limited                                          ) -- C:\Users\Bille\Documents\Desktop\cdbxp_setup_4.5.0.3717.exe
[2013.02.22 00:59:32 | 000,000,000 | ---D | C] -- C:\Users\Bille\Documents\Desktop\pmagic_2013_01_29
[2013.02.19 23:01:32 | 005,156,352 | ---- | C] (Geza Kovacs) -- C:\Users\Bille\Documents\Desktop\unetbootin-windows-583.exe
[2013.02.19 13:32:04 | 004,732,416 | ---- | C] (AVAST Software) -- C:\Users\Bille\Documents\Desktop\aswMBR.exe
[2013.02.19 13:28:21 | 001,752,992 | ---- | C] (Bleeping Computer, LLC) -- C:\Users\Bille\Documents\Desktop\rkill.com
[2013.02.18 21:27:25 | 002,237,968 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Bille\Documents\Desktop\tdsskiller.exe
[2013.02.17 22:57:43 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Bille\Documents\Desktop\OTL.exe
[2013.02.16 15:46:33 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Penou
[2013.02.16 15:46:33 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Nyvu
[2013.02.16 15:46:33 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Ciuze
[2013.02.16 15:07:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Emsisoft Anti-Malware
[2013.02.16 09:13:34 | 000,000,000 | ---D | C] -- C:\Program Files\Emsisoft Anti-Malware
[2013.02.16 09:13:34 | 000,000,000 | ---D | C] -- C:\Users\Bille\Documents\Anti-Malware
[2013.02.14 23:39:22 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Xatah
[2013.02.14 23:39:22 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Unfiho
[2013.02.14 23:39:22 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Oqky
[2013.02.11 20:45:36 | 000,000,000 | ---D | C] -- C:\ProgramData\WindowsSearch
[2013.02.11 14:28:29 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Repair
[2013.02.09 20:54:45 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013.02.09 20:54:36 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy 2
[2013.02.09 20:54:32 | 000,015,224 | ---- | C] (Safer Networking Limited) -- C:\Windows\System32\sdnclean.exe
[2013.02.09 20:54:28 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy 2
[2013.02.03 18:16:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.02.03 18:16:16 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2010.02.22 01:38:14 | 000,250,544 | ---- | C] (KeyWorks Software) -- C:\Program Files\Common Files\keyhelp.ocx
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.25 21:02:14 | 000,003,696 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.25 21:02:12 | 000,003,696 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.25 21:02:07 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.02.25 21:02:04 | 000,000,314 | ---- | M] () -- C:\Windows\tasks\GlaryInitialize.job
[2013.02.25 21:02:02 | 000,000,620 | ---- | M] () -- C:\Windows\tasks\Check for updates (Spybot - Search & Destroy).job
[2013.02.25 21:02:02 | 000,000,356 | ---- | M] () -- C:\Windows\tasks\UpdateDetector.job
[2013.02.25 21:01:44 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.02.25 00:49:07 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.02.23 22:46:36 | 000,007,962 | ---- | M] () -- C:\Users\Bille\AppData\Roaming\wklnhst.dat
[2013.02.23 21:48:05 | 000,001,857 | ---- | M] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.02.23 21:31:42 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avkmgr.sys
[2013.02.23 21:31:42 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2013.02.23 21:31:39 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avipbb.sys
[2013.02.23 21:31:36 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Windows\System32\drivers\avgntflt.sys
[2013.02.23 21:09:00 | 000,638,748 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.02.23 21:09:00 | 000,604,364 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.02.23 21:09:00 | 000,130,700 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.02.23 21:09:00 | 000,107,800 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.02.22 01:02:40 | 000,001,740 | ---- | M] () -- C:\Users\Public\Desktop\CDBurnerXP.lnk
[2013.02.22 01:00:57 | 005,232,040 | ---- | M] (Canneverbe Limited                                          ) -- C:\Users\Bille\Documents\Desktop\cdbxp_setup_4.5.0.3717.exe
[2013.02.20 22:51:31 | 312,475,648 | ---- | M] () -- C:\Users\Bille\Documents\Desktop\pmagic_2013_01_29.iso
[2013.02.19 23:01:46 | 005,156,352 | ---- | M] (Geza Kovacs) -- C:\Users\Bille\Documents\Desktop\unetbootin-windows-583.exe
[2013.02.19 13:33:16 | 004,732,416 | ---- | M] (AVAST Software) -- C:\Users\Bille\Documents\Desktop\aswMBR.exe
[2013.02.19 13:28:21 | 001,752,992 | ---- | M] (Bleeping Computer, LLC) -- C:\Users\Bille\Documents\Desktop\rkill.com
[2013.02.18 21:27:32 | 002,237,968 | ---- | M] (Kaspersky Lab ZAO) -- C:\Users\Bille\Documents\Desktop\tdsskiller.exe
[2013.02.17 22:57:59 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Bille\Documents\Desktop\OTL.exe
[2013.02.17 20:42:24 | 276,546,172 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2013.02.17 20:22:27 | 000,374,784 | ---- | M] () -- C:\Users\Bille\Documents\Desktop\GMER_2.1.18952.exe
[2013.02.16 20:58:51 | 000,585,408 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.02.16 15:07:50 | 000,000,904 | ---- | M] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2013.02.11 14:32:00 | 000,000,160 | ---- | M] () -- C:\ProgramData\-WnoFQbjneGr
[2013.02.11 14:32:00 | 000,000,152 | ---- | M] () -- C:\ProgramData\-WnoFQbjneG
[2013.02.11 14:31:49 | 000,000,088 | ---- | M] () -- C:\ProgramData\WnoFQbjneG
[2013.02.10 11:01:45 | 000,000,616 | ---- | M] () -- C:\Windows\tasks\Refresh immunization (Spybot - Search & Destroy).job
[2013.02.10 11:01:45 | 000,000,446 | ---- | M] () -- C:\Windows\tasks\Scan the system (Spybot - Search & Destroy).job
[2013.02.02 11:55:25 | 000,055,808 | ---- | M] () -- C:\Users\Bille\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.01.29 09:52:37 | 000,000,668 | ---- | M] () -- C:\Users\Bille\Documents\Desktop\mkgriso
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.23 21:48:05 | 000,001,857 | ---- | C] () -- C:\Users\Public\Desktop\Avira Control Center.lnk
[2013.02.22 01:02:40 | 000,001,740 | ---- | C] () -- C:\Users\Public\Desktop\CDBurnerXP.lnk
[2013.02.22 01:02:40 | 000,001,690 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CDBurnerXP.lnk
[2013.02.20 22:52:38 | 000,000,668 | ---- | C] () -- C:\Users\Bille\Documents\Desktop\mkgriso
[2013.02.20 22:48:12 | 312,475,648 | ---- | C] () -- C:\Users\Bille\Documents\Desktop\pmagic_2013_01_29.iso
[2013.02.17 20:22:27 | 000,374,784 | ---- | C] () -- C:\Users\Bille\Documents\Desktop\GMER_2.1.18952.exe
[2013.02.17 16:08:36 | 276,546,172 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2013.02.16 15:07:50 | 000,000,904 | ---- | C] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2013.02.11 11:34:56 | 000,000,160 | ---- | C] () -- C:\ProgramData\-WnoFQbjneGr
[2013.02.11 11:34:56 | 000,000,152 | ---- | C] () -- C:\ProgramData\-WnoFQbjneG
[2013.02.11 11:34:54 | 000,000,088 | ---- | C] () -- C:\ProgramData\WnoFQbjneG
[2013.02.09 20:54:48 | 000,000,446 | ---- | C] () -- C:\Windows\tasks\Scan the system (Spybot - Search & Destroy).job
[2013.02.09 20:54:47 | 000,000,616 | ---- | C] () -- C:\Windows\tasks\Refresh immunization (Spybot - Search & Destroy).job
[2013.02.09 20:54:46 | 000,000,620 | ---- | C] () -- C:\Windows\tasks\Check for updates (Spybot - Search & Destroy).job
[2013.02.09 20:54:37 | 000,001,992 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot-S&D Start Center.lnk
[2012.10.31 20:26:25 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2012.08.16 22:36:37 | 000,044,544 | ---- | C] () -- C:\Windows\System32\Gif89.dll
[2012.05.30 22:16:07 | 000,002,277 | ---- | C] () -- C:\Users\Bille\.recently-used.xbel
[2012.02.09 20:04:53 | 000,000,569 | ---- | C] () -- C:\Windows\wiso.ini
[2011.10.17 15:59:41 | 000,003,113 | ---- | C] () -- C:\Windows\System32\atipblag.dat
[2011.05.26 22:12:09 | 000,000,056 | ---- | C] () -- C:\ProgramData\ezsidmv.dat
[2011.02.10 14:38:57 | 000,008,296 | ---- | C] () -- C:\Users\Bille\AppData\Local\d3d9caps.dat
[2010.12.03 20:55:29 | 000,019,456 | ---- | C] () -- C:\Users\Bille\AppData\Local\WebpageIcons.db
[2010.10.24 19:58:27 | 000,034,901 | ---- | C] () -- C:\ProgramData\nvModes.001
[2010.10.24 19:58:26 | 000,034,901 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2009.10.02 07:20:47 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2008.11.22 23:33:15 | 000,047,148 | ---- | C] () -- C:\Users\Bille\AppData\Roaming\mdbu.bin
[2008.07.10 11:36:34 | 000,000,052 | ---- | C] () -- C:\Users\Bille\AppData\Roaming\Default.PLS
[2008.04.01 12:58:16 | 000,000,305 | ---- | C] () -- C:\ProgramData\addr_file.html
[2008.03.05 21:53:19 | 000,055,808 | ---- | C] () -- C:\Users\Bille\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.03.04 23:16:10 | 000,007,962 | ---- | C] () -- C:\Users\Bille\AppData\Roaming\wklnhst.dat
[2008.02.07 14:06:59 | 000,000,093 | ---- | C] () -- C:\Users\Bille\AppData\Local\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2006.11.02 13:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
"ThreadingModel" = Both
"" = shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = fastprox.dll -- [2009.04.11 07:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 07:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2010.12.17 21:00:30 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Amazon
[2011.12.19 01:12:07 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\AquaSoft
[2011.04.03 22:49:45 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Artweaver
[2009.11.01 18:39:34 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\baywotch3
[2011.06.19 23:10:24 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Beurteilung
[2012.02.09 20:04:59 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Buhl Data Service
[2013.02.22 01:02:56 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Canneverbe Limited
[2013.02.07 21:54:09 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Canon
[2008.07.25 13:41:10 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\CD-LabelPrint
[2011.05.01 20:39:53 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Cherry
[2013.02.19 17:45:53 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Ciuze
[2012.09.19 22:52:29 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Cornelsen
[2009.10.27 21:42:18 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\CoSoSys
[2011.10.21 19:18:51 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\dpdhl.versandhelfer
[2012.09.23 22:34:46 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\DVDVideoSoft
[2012.07.13 23:02:28 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\DVDVideoSoftIEHelpers
[2008.11.16 17:08:20 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\FileZilla
[2012.12.20 22:18:07 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\FontExplorerX
[2010.02.11 22:21:44 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\FRITZ!
[2012.06.30 00:15:59 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Garmin
[2012.12.23 18:44:22 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\GinyasBrowserCompanion
[2012.09.30 20:48:47 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\GlarySoft
[2012.05.02 06:51:12 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\gtk-2.0
[2011.02.02 23:08:20 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\HaCon
[2008.10.15 23:06:32 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Haufe
[2011.04.21 21:40:25 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Haufe Mediengruppe
[2012.08.03 18:18:31 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\ICQ
[2011.04.29 08:16:16 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\IN-MEDIAKG
[2011.05.27 22:37:56 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\IrfanView
[2009.01.19 18:37:40 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Lexware
[2011.12.23 22:36:50 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\MAGIX
[2010.02.22 00:57:46 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\MatchWare
[2008.11.16 13:52:14 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\mirabyte
[2011.04.28 23:51:03 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\mresreg
[2013.01.06 13:43:42 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Notepad++
[2008.04.09 21:41:04 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Nvu
[2013.02.19 18:26:36 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Nyvu
[2010.02.18 22:04:42 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\OpenOffice.org
[2010.02.28 11:00:22 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Opera
[2013.02.14 23:39:22 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Oqky
[2013.02.16 15:46:33 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Penou
[2010.05.29 14:23:37 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\phonostar GmbH
[2008.11.03 00:00:14 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\PixelPlanet
[2009.07.07 10:14:54 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\PlayFirst
[2011.12.10 22:19:52 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Rainlendar
[2008.03.04 23:16:27 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Template
[2009.12.20 23:30:46 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Thunderbird
[2010.10.05 22:21:15 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\translateclient
[2011.08.27 19:23:21 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\TuneUp Software
[2008.03.05 00:24:01 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Ulead Systems
[2013.02.16 12:05:11 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Unfiho
[2013.02.16 10:24:40 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Xatah
[2009.07.06 09:11:33 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Zylom
 
========== Purity Check ==========
 
 

< End of report >
--- --- ---


Gruß Garfield2704

aharonov 25.02.2013 21:52
Hallo,

lassen wir das mal bleiben mit der recovery console und versuchen, ob man jetzt ungestört im normalen Modus weiterarbeiten kann.
Führ bitte mal diese Schritte durch:
(Bei dir laufen immer noch zwei Antivirenprogramme: Emsisoft Antimalware und Avira. Entscheide dich bitte für eines und deinstalliere das andere.)


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.
  • Schliesse alle offenen Programme und Browser.
  • Starte die adwcleaner.exe mit einem Doppelklick.
  • Klicke auf Löschen.
  • Bestätige jeweils mit Ok.
  • Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
  • Poste mir den Inhalt mit deiner nächsten Antwort.
  • Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.



Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.
  • WICHTIG: Speichere Combofix auf deinen Desktop.
  • Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
  • Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
  • Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
  • Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
  • Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.



Schritt 3

Starte bitte die OTL.exe.
  • Setze den Haken bei Scan all Users.
  • Drücke auf den Quick Scan Button.
  • Poste den Inhalt von OTL.txt hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Log von AdwCleaner
  • Log von Combofix
  • Log von OTL

Garfield2704 26.02.2013 00:06
Hallo Leo,

AdwCleaner Logfile:
Code:
# AdwCleaner v2.113 - Datei am 25/02/2013 um 22:47:10 erstellt
# Aktualisiert am 23/02/2013 von Xplode
# Betriebssystem : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Benutzer : Bille - BILLE-PC
# Bootmodus : Normal
# Ausgeführt unter : C:\Users\Bille\Documents\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\END
Ordner Gelöscht : C:\Users\Bille\AppData\LocalLow\Toolbar4
Ordner Gelöscht : C:\Users\Bille\AppData\Roaming\dvdvideosoftiehelpers
Ordner Gelöscht : C:\Users\Bille\AppData\Roaming\GinyasBrowserCompanion

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Conduit
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\FileConverter_1.3
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\PriceGong
Schlüssel Gelöscht : HKCU\Software\AppDataLow\Software\Toolbar
Schlüssel Gelöscht : HKCU\Software\Babylon
Schlüssel Gelöscht : HKCU\Software\BrowserCompanion
Schlüssel Gelöscht : HKCU\Software\IM
Schlüssel Gelöscht : HKCU\Software\Iminent
Schlüssel Gelöscht : HKCU\Software\ImInstaller
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4DC8-84D1-F5D7BAF2DB0C}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{336D0C35-8A85-403a-B9D2-65C292C39087}_is1
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Babylon
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\FileConverter_1.3 Toolbar
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\IMBoosterARP
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{78E516EF-11DE-47A1-8364-A99B917EC5EE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78E516EF-11DE-47A1-8364-A99B917EC5EE}
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Schlüssel Gelöscht : HKCU\Software\pdfforge.org
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{01994268-3C10-4044-A1EA-7A9C1B739A11}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{4CE516A7-F7AC-4628-B411-8F886DC5733E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\{B302A1BD-0157-49FA-90F1-4E94F22C7B4B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\Extension.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\TbCommonUtils.DLL
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AppID\TbHelper.EXE
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{153D7D79-706C-443D-BA98-41CA86982C9D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{26C9BBE4-6D45-4AB6-A5B4-E068C9F5EF6D}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{479BF2D6-E362-4A99-B1AB-BC764D7B97AE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{4B6D6E60-FBD2-4E79-BF4B-886BC98F1797}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{5C176BA0-6FC0-4EBD-8ACF-24AC592506B6}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{78E516EF-11DE-47A1-8364-A99B917EC5EE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{796D822A-C3F9-4A97-BAAB-42FE7628EA63}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{C875C0A1-09E3-48D5-9F8E-BD337796FD14}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{D8F01233-2DE6-4EE7-8988-37263F00651B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{DD438708-AAB4-422D-A322-B619589F5680}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Extension.ExtensionHelperObject
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Extension.ExtensionHelperObject.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.ActiveContentHandle.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.ActiveContentHandler
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.BrowserHelperObject
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.BrowserHelperObject.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.ScriptExtender
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.ScriptExtender.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.TinyUrlHandler
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\IminentWebBooster.TinyUrlHandler.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{0BF91075-F457-4A8B-99EF-140B52D2F22A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{431FB0E5-2CBB-4602-9FE6-F1D64488ADD7}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{5C9A230D-70A5-11D5-AFB0-0050DAC67890}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{8911483C-C00A-4183-9FBC-6C9C00946C15}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{A36867C6-302D-49FC-9D8E-1EB037B5F1AB}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{ACA608DB-A210-4253-B799-3FD24E9A7BF5}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C3F058A9-407D-4CD1-8F66-B75605B54B69}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C58D664A-3DBC-4925-AE74-0382007DF113}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{C776D7F4-BA85-4B75-AAFC-3A0A11FE6E36}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Interface\{EFDCAF05-D29C-4D4D-9836-8CDCD606A6B2}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Prod.cap
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbCommonUtils.CommonUtils
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbCommonUtils.CommonUtils.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbHelper.TbPropertyManager
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TbHelper.TbPropertyManager.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{1D5A4199-956E-49BC-B89F-6A35C57C0D13}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\TypeLib\{A9CAF365-EA35-45DA-BD8B-2EFA09D374AC}
Schlüssel Gelöscht : HKLM\Software\Conduit
Schlüssel Gelöscht : HKLM\Software\FileConverter_1.3
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Schlüssel Gelöscht : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Schlüssel Gelöscht : HKLM\Software\IB Updater
Schlüssel Gelöscht : HKLM\Software\Iminent
Schlüssel Gelöscht : HKLM\Software\ImInstaller
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{2EECD738-5844-4A99-B4B6-146BF802613B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{98889811-442D-49DD-99D7-DC866BE87DBC}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE7E0A3-AE64-4DC8-84D1-F5D7BAF2DB0C}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{336D0C35-8A85-403A-B9D2-65C292C39087}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{78E516EF-11DE-47A1-8364-A99B917EC5EE}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1F7C80F9CE5CDF44E9AADDC99402534C
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\3DA5F64B3483DE549947A9164ACBAD21
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\4FEEA83BF72B97E43A2DF0EE4BE4F261
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\509EC7EFB89B7D942997574AB14037A4
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6241FF6F317CABD4EBBEE0DE9076BD94
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\90841B1FC98200349925C88999866F17
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\B752EF3300008394886C402CC27B474F
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D5389AEEA4A1E20428D045E86BCF643B
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DEF7558C7CD27EF46AF802AFBE402675
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EEB44C47185BD304D80FDF5A4BBE8F54
Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\F214EB834D2EC474CA76C1CDE306CF3A
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{336D0C35-8A85-403a-B9D2-65C292C39087}_is1
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\FileConverter_1.3 Toolbar
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\IMBoosterARP
Schlüssel Gelöscht : HKLM\Software\pdfforge.org
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{78E516EF-11DE-47A1-8364-A99B917EC5EE}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{977AE9CC-AF83-45E8-9E03-E2798216E2D5}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{78E516EF-11DE-47A1-8364-A99B917EC5EE}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{78E516EF-11DE-47A1-8364-A99B917EC5EE}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{78E516EF-11DE-47A1-8364-A99B917EC5EE}]
Wert Gelöscht : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{855F3B16-6D32-4FE6-8A56-BBB695989046}]
Wert Gelöscht : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]

***** [Internet Browser] *****

-\\ Internet Explorer v9.0.8112.16464

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Opera v [Version kann nicht ermittelt werden]

Datei : C:\Users\Bille\AppData\Roaming\Opera\Opera\operaprefs.ini

Gelöscht : HostName Web Lookup Address=hxxp://search.icq.com/search/afe_results.php?q=%s&ch_id=osd&icid=opera

*************************

AdwCleaner[S1].txt - [422 octets] - [25/02/2013 22:34:42]
AdwCleaner[S2].txt - [12932 octets] - [25/02/2013 22:47:10]

########## EOF - C:\AdwCleaner[S2].txt - [12993 octets] ##########
--- --- ---


Das Programm ComboFix lief bis ca.Nr. 50. Dann brach es plötzlich ab, es erschien ein blauer Bildschirm, der ganze Bildschirm war voll (Fehler)meldungen. Dann fuhr der PC wieder hoch. Eine Textdatei hat das Programm nicht hinterlassen. Habe auf C: nachgesehen.
Soll ich es nochmal starten???

Viele Grüße
Garfield 2704

aharonov 26.02.2013 09:15
Hallo,

kannst du nachsehen, ob du unter C:\Qoobox eine Textdatei findest und diese posten?
Versuch danach nochmals, das Programm zu starten, ja. Lösch dazu die aktuelle combofix.exe vom Desktop und lade eine neue herunter.

Garfield2704 26.02.2013 16:02
Hallo Leo,
jetzt hat es mit Combofix geklappt, nchfolgend die Datei.

Combofix Logfile:
Code:
ComboFix 13-02-24.01 - Bille 26.02.2013  13:48:54.2.2 - x86
Microsoft® Windows Vista™ Home Premium  6.0.6002.2.1252.49.1031.18.2047.710 [GMT 1:00]
ausgeführt von:: c:\users\Bille\Documents\Desktop\ComboFix.exe
AV: Emsisoft Anti-Malware *Disabled/Updated* {8504DEEF-CC04-1F76-2137-F1A5F4A659DA}
SP: Emsisoft Anti-Malware *Disabled/Updated* {3E653F0B-EA3E-10F8-1B87-CAD78F211367}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files\Windows Live\Messenger\msacm32.dll
c:\programdata\WnoFQbjneG
c:\users\Bille\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\System Repair.lnk
c:\users\Bille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Repair
c:\users\Bille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Repair\System Repair.lnk
c:\users\Bille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Repair\Uninstall System Repair.lnk
c:\windows\IsUn0407.exe
c:\windows\system32\drivers\etc\hosts.ics
c:\windows\system32\encapi32.dll
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((  Dateien erstellt von 2013-01-26 bis 2013-02-26  ))))))))))))))))))))))))))))))
.
.
2013-02-22 00:02 . 2013-02-22 00:02        --------        d-----w-        c:\users\Bille\AppData\Roaming\Canneverbe Limited
2013-02-22 00:02 . 2013-02-22 00:02        --------        d-----w-        c:\programdata\Canneverbe Limited
2013-02-22 00:02 . 2013-02-22 00:02        --------        d-----w-        c:\program files\CDBurnerXP
2013-02-16 19:49 . 2013-01-08 22:01        768000        ----a-w-        c:\program files\Common Files\Microsoft Shared\vgx\VGX.dll
2013-02-16 14:46 . 2013-02-19 17:26        --------        d-----w-        c:\users\Bille\AppData\Roaming\Nyvu
2013-02-16 14:46 . 2013-02-19 16:45        --------        d-----w-        c:\users\Bille\AppData\Roaming\Ciuze
2013-02-16 14:46 . 2013-02-16 14:46        --------        d-----w-        c:\users\Bille\AppData\Roaming\Penou
2013-02-16 13:15 . 2013-01-04 01:38        2048512        ----a-w-        c:\windows\system32\win32k.sys
2013-02-16 13:15 . 2013-01-04 11:28        905576        ----a-w-        c:\windows\system32\drivers\tcpip.sys
2013-02-16 13:15 . 2012-11-08 03:48        1314816        ----a-w-        c:\windows\system32\quartz.dll
2013-02-16 13:15 . 2013-01-05 05:26        3602808        ----a-w-        c:\windows\system32\ntkrnlpa.exe
2013-02-16 13:15 . 2013-01-05 05:26        3550072        ----a-w-        c:\windows\system32\ntoskrnl.exe
2013-02-16 08:13 . 2013-02-26 13:29        --------        d-----w-        c:\program files\Emsisoft Anti-Malware
2013-02-15 22:31 . 2013-02-15 22:31        186432        ----a-w-        c:\program files\Internet Explorer\Plugins\nppdf32.dll
2013-02-14 22:39 . 2013-02-16 11:05        --------        d-----w-        c:\users\Bille\AppData\Roaming\Unfiho
2013-02-14 22:39 . 2013-02-16 09:24        --------        d-----w-        c:\users\Bille\AppData\Roaming\Xatah
2013-02-14 22:39 . 2013-02-14 22:39        --------        d-----w-        c:\users\Bille\AppData\Roaming\Oqky
2013-02-11 19:45 . 2013-02-11 19:45        --------        d-----w-        c:\programdata\WindowsSearch
2013-02-09 19:54 . 2013-02-10 16:04        --------        d-----w-        c:\programdata\Spybot - Search & Destroy
2013-02-09 19:54 . 2013-02-25 22:54        --------        d-----w-        c:\program files\Spybot - Search & Destroy 2
2013-02-03 17:16 . 2013-02-03 17:16        --------        d-----w-        c:\program files\Malwarebytes' Anti-Malware
.
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-12-26 09:10 . 2008-11-22 22:33        47148        ----a-w-        c:\users\Bille\AppData\Roaming\mdbu.bin
2012-12-16 13:12 . 2012-12-21 06:05        34304        ----a-w-        c:\windows\system32\atmlib.dll
2012-12-16 10:50 . 2012-12-21 06:05        293376        ----a-w-        c:\windows\system32\atmfd.dll
2003-03-21 12:45 . 2010-02-22 00:38        250544        ----a-w-        c:\program files\Common Files\keyhelp.ocx
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\~\Browser Helper Objects\{8015C430-448C-4003-A969-274F7F0F2D9C}]
2010-05-03 19:44        269824        ----a-w-        c:\users\Bille\AppData\LocalLow\YouTubeAnywhere\IE\YouTubeAnywhere.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-12-12 152544]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\APSDaemon]
2012-11-28 13:13        59280        ----a-w-        c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe]
2008-01-19 07:33        125952        ----a-w-        c:\windows\ehome\ehtray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gStart]
2008-08-13 13:34        1891416        ----a-w-        c:\program files\Garmin\Training Center\gStart.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-12-12 12:57        152544        ----a-w-        c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WMPNSCFG"=c:\program files\Windows Media Player\WMPNSCFG.exe
"Picasa Media Detector"=c:\program files\Picasa2\PicasaMediaDetector.exe
"ehTray.exe"=c:\windows\ehome\ehTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"LexwareInfoService"=c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe /autostart
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"
"toolbar_eula_launcher"=c:\program files\GoogleEULA\EULALauncher.exe
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NvMediaCenter"=RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit
"NeroFilterCheck"=c:\program files\Common Files\Nero\Lib\NeroCheck.exe
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
"IMBooster"=c:\program files\Iminent\IMBooster\imbooster.exe /warmup
"LexwareInfoService"=c:\program files\Common Files\Lexware\Update Manager\LxUpdateManager.exe /autostart
"TkBellExe"="c:\program files\Common Files\Real\Update_OB\realsched.exe"  -osboot
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" /min
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Garmin Lifetime Updater"=c:\program files\Garmin\Lifetime Updater\GarminLifetime.exe /StartMinimized
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
.
S1 A2DDA;A2 Direct Disk Access Support Driver;c:\program files\Emsisoft Anti-Malware\a2ddax86.sys [x]
S1 a2injectiondriver;a2injectiondriver;c:\program files\Emsisoft Anti-Malware\a2dix86.sys [x]
S1 a2util;a-squared Malware-IDS utility driver;c:\program files\Emsisoft Anti-Malware\a2util32.sys [x]
S2 a2AntiMalware;Emsisoft Anti-Malware 7.0 - Service;c:\program files\Emsisoft Anti-Malware\a2service.exe [x]
S3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\DRIVERS\3xHybrid.sys [x]
S3 a2acc;a2acc;c:\program files\EMSISOFT ANTI-MALWARE\a2accx86.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation        REG_MULTI_SZ          FontCache
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-26 c:\windows\Tasks\GlaryInitialize.job
- c:\program files\Glary Utilities\initialize.exe [2012-06-17 19:59]
.
2013-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-08 21:33]
.
2013-02-26 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-08 21:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.focus.de/
mSearch Bar = hxxp://www.google.com/ie
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: {{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4
IE: {{7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - c:\program files\ICQ7.5\ICQ.exe
TCP: DhcpNameServer = 192.168.2.1
DPF: Garmin Communicator Plug-In - hxxps://static.garmincdn.com/gcp/ie/4.0.1.0/GarminAxControl_32.CAB
DPF: {3DF6983D-D415-4AE5-8106-43987731DAA5} - hxxp://shop.aldi-fotoservice-druck.de/shop/activex/aldi_nord_express_upload.cab
DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} - hxxps://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game12.zylom.com/activex/zylomgamesplayer.cab
DPF: {E55FD215-A32E-43FE-A777-A7E8F165F560} - hxxp://download.flatcast.net/objects/NpFv522.dll
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
WebBrowser-{990AF1C2-5A27-4460-8149-ECC6BC122AF3} - (no file)
HKCU-Run-Ukdukacai - c:\users\Bille\AppData\Roaming\Nyvu\quysa.exe
SafeBoot-WudfPf
SafeBoot-WudfRd
MSConfigStartUp-Google Update - c:\users\Bille\AppData\Local\Google\Update\GoogleUpdate.exe
MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\QTTask.exe
AddRemove-POP3Notify - c:\windows\unin0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-26 14:33
Windows 6.0.6002 Service Pack 2 NTFS
.
detected NTDLL code modification:
ZwOpenFile
.
Scanne versteckte Prozesse...
.
Scanne versteckte Autostarteinträge...
.
Scanne versteckte Dateien...
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.alb\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="FotoManager10Deluxe.8.alb"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_265_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'Explorer.exe'(2808)
c:\windows\system32\MLANG.dll
c:\windows\system32\d2d1.dll
c:\windows\system32\dxgi.dll
c:\windows\system32\d3d10_1.dll
c:\windows\system32\wpdshserviceobj.dll
c:\program files\FileZilla FTP Client\fzshellext.dll
c:\windows\System32\msxml3.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\atiesrxx.exe
c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
c:\windows\system32\atieclxx.exe
c:\program files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Common Files\MAGIX Services\Database_146bec2\bin\FABS.exe
c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe
c:\program files\Medion\MEDIONbox\Program\GCS.exe
c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\program files\CodeMeter\Runtime\bin\CodeMeter.exe
c:\windows\system32\conime.exe
c:\program files\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-02-26  14:55:07 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-02-26 13:54
.
Vor Suchlauf: 14 Verzeichnis(se), 22.935.580.672 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 21.748.531.200 Bytes frei
.
- - End Of File - - 133AADE85331E8E002BC9A07A7B73519
--- --- ---


Allerdings lässt sich OTL.exe nicht mehr vom Desktop starten. Es kommt eine Fehlermeldung:
"Es wurde versucht, einen registrierungsschlüsel einem unzulässigen Vorgang zu unterziehen, der zum Löschen markiert wurde."

Soll ich OTL nochmal runterladen.

Soll ich die Emsisoft Software wieder aktivieren?

Viele Grüße
Garfield2704

aharonov 26.02.2013 16:17
Hallo,

Emsisoft Malware kannst du wieder aktivieren, ja. (Hast du eigentlich die Vollversion davon gekauft oder ist das noch die Testversion?)

Zitat:
Allerdings lässt sich OTL.exe nicht mehr vom Desktop starten. Es kommt eine Fehlermeldung:
Bitte die Anleitung immer sehr genau lesen..
Ich kopiere den relevanten Ausschnitt aus der Combofix-Anleitung hier nochmals hin für dich. ;)


Zitat:
Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Garfield2704 26.02.2013 19:56
Hallo Leo,
vielen Dank für den Hinweis. Ich dachte, der Hinweis gehört noch zum Programm Combofix. Da stand der Hinweis ja auch drunter.

Na, ist doch kein Problem, nach dem Neustart konnte ich OTL wieder starten.
Hier die Datei:

OTL Logfile:
Code:
OTL logfile created on: 26.02.2013 18:28:10 - Run 4
OTL by OldTimer - Version 3.2.69.0    Folder = C:\Users\Bille\Documents\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 0,92 Gb Available Physical Memory | 45,97% Memory free
4,24 Gb Paging File | 2,86 Gb Available in Paging File | 67,39% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 236,31 Gb Total Space | 20,25 Gb Free Space | 8,57% Space Free | Partition Type: NTFS
Drive D: | 931,28 Gb Total Space | 181,73 Gb Free Space | 19,51% Space Free | Partition Type: FAT32
Drive E: | 2,96 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
Drive Z: | 19,99 Gb Total Space | 9,42 Gb Free Space | 47,14% Space Free | Partition Type: FAT32
 
Computer Name: BILLE-PC | User Name: Bille | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.17 22:57:59 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Bille\Documents\Desktop\OTL.exe
PRC - [2013.02.16 15:14:21 | 003,089,320 | ---- | M] (Emsisoft GmbH) -- C:\Programme\Emsisoft Anti-Malware\a2service.exe
PRC - [2012.12.18 15:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2012.02.16 12:49:28 | 002,310,544 | ---- | M] (WIBU-SYSTEMS AG) -- C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe
PRC - [2011.01.26 23:55:54 | 000,393,216 | ---- | M] (AMD) -- C:\Windows\System32\atieclxx.exe
PRC - [2011.01.26 23:55:24 | 000,176,128 | ---- | M] (AMD) -- C:\Windows\System32\atiesrxx.exe
PRC - [2009.08.27 17:09:10 | 001,253,376 | ---- | M] (MAGIX AG) -- C:\Programme\Common Files\MAGIX Services\Database_146bec2\bin\FABS.exe
PRC - [2009.04.11 07:28:03 | 001,233,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Sidebar\sidebar.exe
PRC - [2009.04.11 07:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2008.01.19 08:33:39 | 000,896,512 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2007.04.13 18:14:28 | 000,016,384 | ---- | M] (Empolis GmbH) -- C:\Programme\Medion\MEDIONbox\Program\GCS.exe
PRC - [2001.11.12 13:31:48 | 000,020,480 | ---- | M] (X10) -- C:\Programme\Common Files\X10\Common\X10nets.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.09.27 07:23:00 | 000,087,912 | ---- | M] () -- C:\Programme\Common Files\Apple\Apple Application Support\zlib1.dll
MOD - [2011.09.27 07:22:40 | 001,242,472 | ---- | M] () -- C:\Programme\Common Files\Apple\Apple Application Support\libxml2.dll
MOD - [2011.01.26 23:11:58 | 000,023,040 | ---- | M] () -- C:\Windows\System32\atitmpxx.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2013.02.16 15:14:21 | 003,089,320 | ---- | M] (Emsisoft GmbH) [Auto | Running] -- C:\Programme\Emsisoft Anti-Malware\a2service.exe -- (a2AntiMalware)
SRV - [2012.12.18 15:28:08 | 000,065,192 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.12.14 16:49:28 | 000,682,344 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2012.12.14 16:49:28 | 000,398,184 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2012.07.13 12:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.02.16 12:49:28 | 002,310,544 | ---- | M] (WIBU-SYSTEMS AG) [Auto | Running] -- C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe -- (CodeMeter.exe)
SRV - [2011.01.26 23:55:24 | 000,176,128 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility)
SRV - [2010.01.09 20:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 20:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.08.27 17:09:10 | 001,253,376 | ---- | M] (MAGIX AG) [Auto | Running] -- C:\Program Files\Common Files\MAGIX Services\Database_146bec2\bin\FABS.exe -- (Fabs)
SRV - [2008.11.04 00:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2008.08.07 11:10:02 | 003,276,800 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\Common Files\MAGIX Services\Database_146bec2\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
SRV - [2008.01.19 08:38:24 | 000,272,952 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008.01.19 08:33:39 | 000,896,512 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2007.04.13 18:14:26 | 000,036,864 | ---- | M] (Empolis GmbH) [Auto | Stopped] -- c:\Programme\Common Files\Gnab\Service\ServiceController.exe -- (GnabService)
SRV - [2001.11.12 13:31:48 | 000,020,480 | ---- | M] (X10) [Auto | Running] -- C:\Programme\Common Files\X10\Common\X10nets.exe -- (x10nets)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\NETFWDSL.SYS -- (NETFWDSL)
DRV - File not found [File_System | On_Demand | Stopped] -- C:\Windows\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - [2013.02.23 21:31:42 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2012.04.30 18:45:28 | 000,054,072 | ---- | M] (Emsisoft GmbH) [File_System | On_Demand | Running] -- C:\Programme\Emsisoft Anti-Malware\a2accx86.sys -- (a2acc)
DRV - [2012.04.30 18:45:00 | 000,037,856 | ---- | M] (Emsisoft GmbH) [File_System | System | Running] -- C:\Programme\Emsisoft Anti-Malware\a2dix86.sys -- (a2injectiondriver)
DRV - [2011.12.19 01:12:06 | 000,697,328 | ---- | M] () [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2011.05.19 14:10:34 | 000,017,904 | ---- | M] (Emsi Software GmbH) [Kernel | System | Running] -- C:\Programme\Emsisoft Anti-Malware\a2ddax86.sys -- (A2DDA)
DRV - [2011.01.27 00:36:14 | 007,566,848 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (amdkmdag)
DRV - [2011.01.26 23:13:10 | 000,238,592 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmpag.sys -- (amdkmdap)
DRV - [2010.11.17 13:04:12 | 000,097,296 | ---- | M] (Advanced Micro Devices) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\AtihdLH3.sys -- (AtiHDAudioService)
DRV - [2010.05.05 09:40:32 | 000,011,776 | ---- | M] (Emsi Software GmbH) [Kernel | System | Running] -- C:\Programme\Emsisoft Anti-Malware\a2util32.sys -- (a2util)
DRV - [2010.04.03 21:55:32 | 011,573,800 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2009.11.19 13:32:02 | 000,081,920 | ---- | M] (Prolific Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ser2pl.sys -- (Ser2pl)
DRV - [2008.01.09 12:28:34 | 000,027,632 | ---- | M] (Sony Ericsson Mobile Communications) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\seehcri.sys -- (seehcri)
DRV - [2008.01.08 08:17:08 | 001,302,368 | ---- | M] (NXP Semiconductors Germany GmbH) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\3xHybrid.sys -- (3xHybrid)
DRV - [2007.12.10 14:22:22 | 000,110,120 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017unic.sys -- (s3017unic)
DRV - [2007.12.10 14:22:22 | 000,100,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017obex.sys -- (s3017obex)
DRV - [2007.12.10 14:22:20 | 000,104,616 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017mgmt.sys -- (s3017mgmt)
DRV - [2007.12.10 14:22:20 | 000,025,512 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017nd5.sys -- (s3017nd5)
DRV - [2007.12.10 14:22:18 | 000,110,632 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017mdm.sys -- (s3017mdm)
DRV - [2007.12.10 14:22:18 | 000,015,016 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017mdfl.sys -- (s3017mdfl)
DRV - [2007.12.10 14:22:14 | 000,083,880 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\s3017bus.sys -- (s3017bus)
DRV - [2007.11.18 02:39:50 | 001,040,544 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvmfdx32.sys -- (NVENETFD)
DRV - [2007.10.31 11:23:20 | 000,115,744 | ---- | M] (NVIDIA Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\nvstor32.sys -- (nvstor32)
DRV - [2007.09.21 10:38:22 | 000,554,496 | ---- | M] (Ralink Technology Corp.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\netr28u.sys -- (netr28u)
DRV - [2007.07.07 14:13:10 | 000,012,032 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvsmu.sys -- (nvsmu)
DRV - [2006.11.30 15:18:18 | 000,027,416 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\x10ufx2.sys -- (XUIF)
DRV - [2006.11.17 10:31:04 | 000,013,976 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\x10hid.sys -- (X10Hid)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKLM\..\URLSearchHook:  - No CLSID value found
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope =
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope =
 
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.focus.de/
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\SearchScopes,DefaultScope = {CDE97567-36EB-4070-AAE2-54FEF0C2AC45}
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\SearchScopes\{C311C248-D7DE-4619-BBA2-271264ECF7E9}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3241949
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\SearchScopes\{CDE97567-36EB-4070-AAE2-54FEF0C2AC45}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA_de
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~3\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.3088: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.3146: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.11.3006: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: C:\Users\Bille\AppData\Roaming\Move Networks\plugins\071802000001\npqmp071802000001.dll (Move Networks)
FF - HKCU\Software\MozillaPlugins\@www.flatcast.com/FlatViewer 5.2: C:\Windows\DOWNLO~1\NpFv522.dll ()
FF - HKCU\Software\MozillaPlugins\amazon.com/AmazonMP3DownloaderPlugin: C:\Program Files\Amazon\MP3 Downloader\npAmazonMP3DownloaderPlugin101753.dll (Amazon.com, Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2008.01.14 12:40:52 | 000,000,000 | ---D | M]
 
[2011.04.21 21:40:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bille\AppData\Roaming\mozilla\Extensions
[2009.12.20 23:30:47 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bille\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.04.21 21:40:29 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Bille\AppData\Roaming\mozilla\Extensions\ideskbrowser@haufe.de
 
O1 HOSTS File: ([2013.02.26 14:32:21 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)
O2 - BHO: (YouTubeAnywhere) - {8015C430-448C-4003-A969-274F7F0F2D9C} - C:\Users\Bille\AppData\LocalLow\YouTubeAnywhere\IE\YouTubeAnywhere.dll (Diego Casorran)
O2 - BHO: (Skype Browser Helper) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (PDFCreator Toolbar Helper) - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll ()
O3 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003..\RunOnce: [FlashPlayerUpdate] C:\Windows\System32\Macromed\Flash\FlashUtil32_11_4_402_265_ActiveX.exe (Adobe Systems Incorporated)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoResolveTrack = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\Software\Policies\Microsoft\Internet Explorer\Recovery present
O7 - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4 File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - C:\Programme\ICQ7.5\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra Button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - Reg Error: Key error. File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office2010.microsoft.com/sites/production/ieawsdc32.cab (Microsoft Office Template and Media Control)
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {3DF6983D-D415-4AE5-8106-43987731DAA5} hxxp://shop.aldi-fotoservice-druck.de/shop/activex/aldi_nord_express_upload.cab (AldiActiveFormX Element)
O16 - DPF: {888078C6-70B2-4F88-8EE7-1F50DDEA6120} https://as.photoprintit.de/ips-opdata/activex/ImageUploader6.cab (CeWe Color AG & Co. OHG Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} hxxp://game12.zylom.com/activex/zylomgamesplayer.cab (Zylom Games Player)
O16 - DPF: {C1FDEE68-98D5-4F42-A4DD-D0BECF5077EB} hxxp://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-31-0.cab (EPUImageControl Class)
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} https://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab (IPSUploader4 Control)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {D8AA889B-2C65-47C3-8C16-3DCD4EF76A47} hxxp://rms2.invokesolutions.com/events/bin/6.2.0.1450/MILive.cab (Reg Error: Key error.)
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F560} hxxp://download.flatcast.net/objects/NpFv522.dll (Flatcast Viewer 5.2)
O16 - DPF: Garmin Communicator Plug-In https://static.garmincdn.com/gcp/ie/4.0.1.0/GarminAxControl_32.CAB (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{00A3DA5D-A255-433F-B7F2-AAFE2114A660}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{07A61B71-A20C-4746-B4CF-C06B9B0AABE0}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\haufereader - No CLSID value found
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img10.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img10.jpg
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 22:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.26 14:51:18 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2013.02.26 13:41:33 | 000,000,000 | ---D | C] -- C:\ComboFix
[2013.02.26 13:37:00 | 005,034,894 | R--- | C] (Swearware) -- C:\Users\Bille\Documents\Desktop\ComboFix.exe
[2013.02.25 23:07:11 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2013.02.25 23:07:10 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2013.02.25 23:07:10 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2013.02.25 23:00:37 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.02.25 22:59:16 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013.02.22 01:02:56 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Canneverbe Limited
[2013.02.22 01:02:56 | 000,000,000 | ---D | C] -- C:\ProgramData\Canneverbe Limited
[2013.02.22 01:02:35 | 000,000,000 | ---D | C] -- C:\Program Files\CDBurnerXP
[2013.02.22 01:00:57 | 005,232,040 | ---- | C] (Canneverbe Limited                                          ) -- C:\Users\Bille\Documents\Desktop\cdbxp_setup_4.5.0.3717.exe
[2013.02.22 00:59:32 | 000,000,000 | ---D | C] -- C:\Users\Bille\Documents\Desktop\pmagic_2013_01_29
[2013.02.19 23:01:32 | 005,156,352 | ---- | C] (Geza Kovacs) -- C:\Users\Bille\Documents\Desktop\unetbootin-windows-583.exe
[2013.02.19 13:32:04 | 004,732,416 | ---- | C] (AVAST Software) -- C:\Users\Bille\Documents\Desktop\aswMBR.exe
[2013.02.19 13:28:21 | 001,752,992 | ---- | C] (Bleeping Computer, LLC) -- C:\Users\Bille\Documents\Desktop\rkill.com
[2013.02.18 21:27:25 | 002,237,968 | ---- | C] (Kaspersky Lab ZAO) -- C:\Users\Bille\Documents\Desktop\tdsskiller.exe
[2013.02.17 22:57:43 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Bille\Documents\Desktop\OTL.exe
[2013.02.16 15:46:33 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Penou
[2013.02.16 15:46:33 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Nyvu
[2013.02.16 15:46:33 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Ciuze
[2013.02.16 15:07:50 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Emsisoft Anti-Malware
[2013.02.16 09:13:34 | 000,000,000 | ---D | C] -- C:\Program Files\Emsisoft Anti-Malware
[2013.02.16 09:13:34 | 000,000,000 | ---D | C] -- C:\Users\Bille\Documents\Anti-Malware
[2013.02.14 23:39:22 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Xatah
[2013.02.14 23:39:22 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Unfiho
[2013.02.14 23:39:22 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Oqky
[2013.02.11 20:45:36 | 000,000,000 | ---D | C] -- C:\ProgramData\WindowsSearch
[2013.02.09 20:54:45 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2013.02.09 20:54:28 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy 2
[2013.02.03 18:16:18 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.02.03 18:16:16 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2010.02.22 01:38:14 | 000,250,544 | ---- | C] (KeyWorks Software) -- C:\Program Files\Common Files\keyhelp.ocx
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.26 18:25:24 | 000,065,536 | ---- | M] () -- C:\Windows\System32\Ikeext.etl
[2013.02.26 18:25:21 | 000,001,092 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.02.26 18:25:17 | 000,000,314 | ---- | M] () -- C:\Windows\tasks\GlaryInitialize.job
[2013.02.26 18:25:04 | 000,003,696 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2013.02.26 18:25:04 | 000,003,696 | ---- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2013.02.26 18:24:54 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.02.26 17:49:01 | 000,001,096 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.02.26 14:32:21 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2013.02.26 13:37:09 | 005,034,894 | R--- | M] (Swearware) -- C:\Users\Bille\Documents\Desktop\ComboFix.exe
[2013.02.25 23:54:50 | 355,320,348 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2013.02.25 22:55:34 | 000,638,748 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.02.25 22:55:34 | 000,604,364 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.02.25 22:55:34 | 000,130,700 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.02.25 22:55:34 | 000,107,800 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.02.25 22:32:35 | 000,594,019 | ---- | M] () -- C:\Users\Bille\Documents\Desktop\adwcleaner.exe
[2013.02.23 22:46:36 | 000,007,962 | ---- | M] () -- C:\Users\Bille\AppData\Roaming\wklnhst.dat
[2013.02.23 21:31:42 | 000,028,520 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\ssmdrv.sys
[2013.02.22 01:02:40 | 000,001,740 | ---- | M] () -- C:\Users\Public\Desktop\CDBurnerXP.lnk
[2013.02.22 01:00:57 | 005,232,040 | ---- | M] (Canneverbe Limited                                          ) -- C:\Users\Bille\Documents\Desktop\cdbxp_setup_4.5.0.3717.exe
[2013.02.20 22:51:31 | 312,475,648 | ---- | M] () -- C:\Users\Bille\Documents\Desktop\pmagic_2013_01_29.iso
[2013.02.19 23:01:46 | 005,156,352 | ---- | M] (Geza Kovacs) -- C:\Users\Bille\Documents\Desktop\unetbootin-windows-583.exe
[2013.02.19 13:33:16 | 004,732,416 | ---- | M] (AVAST Software) -- C:\Users\Bille\Documents\Desktop\aswMBR.exe
[2013.02.19 13:28:21 | 001,752,992 | ---- | M] (Bleeping Computer, LLC) -- C:\Users\Bille\Documents\Desktop\rkill.com
[2013.02.18 21:27:32 | 002,237,968 | ---- | M] (Kaspersky Lab ZAO) -- C:\Users\Bille\Documents\Desktop\tdsskiller.exe
[2013.02.17 22:57:59 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Bille\Documents\Desktop\OTL.exe
[2013.02.17 20:22:27 | 000,374,784 | ---- | M] () -- C:\Users\Bille\Documents\Desktop\GMER_2.1.18952.exe
[2013.02.16 20:58:51 | 000,585,408 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.02.16 15:07:50 | 000,000,904 | ---- | M] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2013.02.11 14:32:00 | 000,000,160 | ---- | M] () -- C:\ProgramData\-WnoFQbjneGr
[2013.02.11 14:32:00 | 000,000,152 | ---- | M] () -- C:\ProgramData\-WnoFQbjneG
[2013.02.02 11:55:25 | 000,055,808 | ---- | M] () -- C:\Users\Bille\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013.01.29 09:52:37 | 000,000,668 | ---- | M] () -- C:\Users\Bille\Documents\Desktop\mkgriso
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.25 23:07:11 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2013.02.25 23:07:11 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2013.02.25 23:07:10 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2013.02.25 23:07:10 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2013.02.25 23:07:10 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2013.02.25 22:32:35 | 000,594,019 | ---- | C] () -- C:\Users\Bille\Documents\Desktop\adwcleaner.exe
[2013.02.22 01:02:40 | 000,001,740 | ---- | C] () -- C:\Users\Public\Desktop\CDBurnerXP.lnk
[2013.02.22 01:02:40 | 000,001,690 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CDBurnerXP.lnk
[2013.02.20 22:52:38 | 000,000,668 | ---- | C] () -- C:\Users\Bille\Documents\Desktop\mkgriso
[2013.02.20 22:48:12 | 312,475,648 | ---- | C] () -- C:\Users\Bille\Documents\Desktop\pmagic_2013_01_29.iso
[2013.02.17 20:22:27 | 000,374,784 | ---- | C] () -- C:\Users\Bille\Documents\Desktop\GMER_2.1.18952.exe
[2013.02.17 16:08:36 | 355,320,348 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2013.02.16 15:07:50 | 000,000,904 | ---- | C] () -- C:\Users\Public\Desktop\Emsisoft Anti-Malware.lnk
[2013.02.11 11:34:56 | 000,000,160 | ---- | C] () -- C:\ProgramData\-WnoFQbjneGr
[2013.02.11 11:34:56 | 000,000,152 | ---- | C] () -- C:\ProgramData\-WnoFQbjneG
[2012.10.31 20:26:25 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2012.08.16 22:36:37 | 000,044,544 | ---- | C] () -- C:\Windows\System32\Gif89.dll
[2012.05.30 22:16:07 | 000,002,277 | ---- | C] () -- C:\Users\Bille\.recently-used.xbel
[2012.02.09 20:04:53 | 000,000,569 | ---- | C] () -- C:\Windows\wiso.ini
[2011.10.17 15:59:41 | 000,003,113 | ---- | C] () -- C:\Windows\System32\atipblag.dat
[2011.05.26 22:12:09 | 000,000,056 | ---- | C] () -- C:\ProgramData\ezsidmv.dat
[2011.02.10 14:38:57 | 000,008,296 | ---- | C] () -- C:\Users\Bille\AppData\Local\d3d9caps.dat
[2010.12.03 20:55:29 | 000,019,456 | ---- | C] () -- C:\Users\Bille\AppData\Local\WebpageIcons.db
[2010.10.24 19:58:27 | 000,034,901 | ---- | C] () -- C:\ProgramData\nvModes.001
[2010.10.24 19:58:26 | 000,034,901 | ---- | C] () -- C:\ProgramData\nvModes.dat
[2009.10.02 07:20:47 | 000,000,306 | RHS- | C] () -- C:\ProgramData\ntuser.pol
[2008.11.22 23:33:15 | 000,047,148 | ---- | C] () -- C:\Users\Bille\AppData\Roaming\mdbu.bin
[2008.07.10 11:36:34 | 000,000,052 | ---- | C] () -- C:\Users\Bille\AppData\Roaming\Default.PLS
[2008.04.01 12:58:16 | 000,000,305 | ---- | C] () -- C:\ProgramData\addr_file.html
[2008.03.05 21:53:19 | 000,055,808 | ---- | C] () -- C:\Users\Bille\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.03.04 23:16:10 | 000,007,962 | ---- | C] () -- C:\Users\Bille\AppData\Roaming\wklnhst.dat
[2008.02.07 14:06:59 | 000,000,093 | ---- | C] () -- C:\Users\Bille\AppData\Local\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2006.11.02 13:54:22 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.08 18:47:00 | 011,586,048 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.04.11 07:28:19 | 000,614,912 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.04.11 07:28:25 | 000,347,648 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2010.12.17 21:00:30 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Amazon
[2011.12.19 01:12:07 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\AquaSoft
[2011.04.03 22:49:45 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Artweaver
[2009.11.01 18:39:34 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\baywotch3
[2011.06.19 23:10:24 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Beurteilung
[2012.02.09 20:04:59 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Buhl Data Service
[2013.02.22 01:02:56 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Canneverbe Limited
[2013.02.07 21:54:09 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Canon
[2008.07.25 13:41:10 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\CD-LabelPrint
[2011.05.01 20:39:53 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Cherry
[2013.02.19 17:45:53 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Ciuze
[2012.09.19 22:52:29 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Cornelsen
[2009.10.27 21:42:18 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\CoSoSys
[2011.10.21 19:18:51 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\dpdhl.versandhelfer
[2012.09.23 22:34:46 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\DVDVideoSoft
[2008.11.16 17:08:20 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\FileZilla
[2012.12.20 22:18:07 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\FontExplorerX
[2010.02.11 22:21:44 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\FRITZ!
[2012.06.30 00:15:59 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Garmin
[2012.09.30 20:48:47 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\GlarySoft
[2012.05.02 06:51:12 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\gtk-2.0
[2011.02.02 23:08:20 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\HaCon
[2008.10.15 23:06:32 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Haufe
[2011.04.21 21:40:25 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Haufe Mediengruppe
[2012.08.03 18:18:31 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\ICQ
[2011.04.29 08:16:16 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\IN-MEDIAKG
[2011.05.27 22:37:56 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\IrfanView
[2009.01.19 18:37:40 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Lexware
[2011.12.23 22:36:50 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\MAGIX
[2010.02.22 00:57:46 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\MatchWare
[2008.11.16 13:52:14 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\mirabyte
[2011.04.28 23:51:03 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\mresreg
[2013.01.06 13:43:42 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Notepad++
[2008.04.09 21:41:04 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Nvu
[2013.02.19 18:26:36 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Nyvu
[2010.02.18 22:04:42 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\OpenOffice.org
[2010.02.28 11:00:22 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Opera
[2013.02.14 23:39:22 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Oqky
[2013.02.16 15:46:33 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Penou
[2010.05.29 14:23:37 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\phonostar GmbH
[2008.11.03 00:00:14 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\PixelPlanet
[2009.07.07 10:14:54 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\PlayFirst
[2011.12.10 22:19:52 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Rainlendar
[2008.03.04 23:16:27 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Template
[2009.12.20 23:30:46 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Thunderbird
[2010.10.05 22:21:15 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\translateclient
[2011.08.27 19:23:21 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\TuneUp Software
[2008.03.05 00:24:01 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Ulead Systems
[2013.02.16 12:05:11 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Unfiho
[2013.02.16 10:24:40 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Xatah
[2009.07.06 09:11:33 | 000,000,000 | ---D | M] -- C:\Users\Bille\AppData\Roaming\Zylom
 
========== Purity Check ==========
 
 

< End of report >
--- --- ---


Viele Grüße
Garfield2704

Hallo Leo,
ich habe etwas vergessen:

Ich habe eine Vollversion von Emsisoft (gültig 1 Jahr).

Viele Grüße
Garfield2704

aharonov 26.02.2013 21:47
Hallo,

hmm, mal schauen, ob diese beiden Tools, die zuvor gestreikt haben, jetzt laufen.
(Bitte die aswmbr.exe und tdsskiller.exe vom Desktop löschen und dann neu herunterladen.)


Schritt 1
  • Starte bitte die OTL.exe.
  • Kopiere nun den folgenden Inhalt aus der Codebox in die http://larusso.trojaner-board.de/Images/otlfix.jpg Textbox.
    Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.
Code:
:OTL
[2013.02.11 11:34:56 | 000,000,160 | ---- | C] () -- C:\ProgramData\-WnoFQbjneGr
[2013.02.11 11:34:56 | 000,000,152 | ---- | C] () -- C:\ProgramData\-WnoFQbjneG
IE - HKU\S-1-5-21-3778007921-2159278055-2083024639-1003\..\SearchScopes\{C311C248-D7DE-4619-BBA2-271264ECF7E9}: "URL" = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3241949
[2013.02.14 23:39:22 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Xatah
[2013.02.14 23:39:22 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Unfiho
[2013.02.14 23:39:22 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Oqky
[2013.02.16 15:46:33 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Penou
[2013.02.16 15:46:33 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Nyvu
[2013.02.16 15:46:33 | 000,000,000 | ---D | C] -- C:\Users\Bille\AppData\Roaming\Ciuze

:commands
[emptytemp]
  • Schliesse nun bitte alle anderen Programme.
  • Klicke jetzt auf den Fix Button.
  • OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
  • Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
    (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
  • Kopiere nun dessen Inhalt hier in deinen Thread.



Schritt 2

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinen Desktop.
  • Starte die aswMBR.exe.
    Vista und Win7 User mit Rechtsklick "als Admininstartor ausführen".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von avast! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff aufs Internet zulassen.)
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte, bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere die Datei auf dem Desktop.
Poste mir diese aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung.

Hinweis: Sollte der Scan Button ausgeblendet sein, schliesse das Tool und starte es erneut. Sollte es erneut nicht klappen, teile mir das bitte mit.



Schritt 3

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts löschen, sondern nur einen Scan-Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.
  • Starte die TDSSKiller.exe.
  • Drücke Start Scan.
  • Warnung: Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  • TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
  • Poste bitte den Inhalt dieses Logfiles hier in den Thread.



Bitte poste in deiner nächsten Antwort:
  • Fixlog von OTL
  • Log von aswMBR
  • Log von TDSSKiller

Garfield2704 26.02.2013 22:17
Hallo Leo,

OTL Log ist hier:

Code:
All processes killed
========== OTL ==========
C:\ProgramData\-WnoFQbjneGr moved successfully.
C:\ProgramData\-WnoFQbjneG moved successfully.
Registry key HKEY_USERS\S-1-5-21-3778007921-2159278055-2083024639-1003\Software\Microsoft\Internet Explorer\SearchScopes\{C311C248-D7DE-4619-BBA2-271264ECF7E9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C311C248-D7DE-4619-BBA2-271264ECF7E9}\ not found.
C:\Users\Bille\AppData\Roaming\Xatah folder moved successfully.
C:\Users\Bille\AppData\Roaming\Unfiho folder moved successfully.
C:\Users\Bille\AppData\Roaming\Oqky folder moved successfully.
C:\Users\Bille\AppData\Roaming\Penou folder moved successfully.
C:\Users\Bille\AppData\Roaming\Nyvu folder moved successfully.
C:\Users\Bille\AppData\Roaming\Ciuze folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Bille
->Temp folder emptied: 79926142 bytes
->Temporary Internet Files folder emptied: 328238 bytes
->Java cache emptied: 22153247 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 78611 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56475 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1330 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 98,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 02262013_215433

Files\Folders moved on Reboot...
C:\Windows\temp\JET537C.tmp moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Die anderen beiden Programme laufen leider wieder nicht. :rolleyes:

Viele Grüße
Garfield2704

aharonov 26.02.2013 22:19
Zitat:
Die anderen beiden Programme laufen leider wieder nicht.
Das ist doch zum :killpc:.
Kommt noch irgendeine Meldung oder passiert einfach nichts, wenn du sie öffnest?

Wie läuft denn der Rechner sonst so? Bemerkst du noch irgendwelche Probleme?

Garfield2704 26.02.2013 23:01
Hallo Leo,
dieses Smiley :killpc: wollte ich auch schon posten.

Wenn ich die beiden Programme öffne, kommt ein Fenster "Benutzerkontensteuerung":
Zur Fortsetzung des Programms ist Ihre Zustimmung erforderlich.
Dann klicke ich auf Fortsetzen, dann verschwindet das Fenster, dann kommt der Mauszeiger - und das war es .... leider.

Mein Explorer- Zeichen ist auch wieder da.
Ansonsten habe ich den Computer (außer zur Reparatur) nicht benutzt, ich würde sagen, das Internet läuft wieder normal, manche Programme brauchen etwas länger beim Starten.

Viele Grüße
Garfield2704

aharonov 26.02.2013 23:20
Hallo,

ja das ist wirklich ein zäher Fall hier..

Zitat:
Wenn ich die beiden Programme öffne, kommt ein Fenster "Benutzerkontensteuerung"
Entschuldige, wenn ich jetzt dumme Fragen stelle..
Aber wie öffnest du diese Programme? Ist es das gleiche, wenn du nicht einen Doppelklick, sondern einen Rechtsklick auf das Programm machst und dann "als Administrator ausführen" wählst..?

Garfield2704 27.02.2013 00:30
Hallo Leo,

es gibt keine dummen Fragen. ;-)

Ich habe es noch einmal ausprobiert.
Es ist egal, wie ich die Programme starte. Es startet immer gleich (wie oben beschrieben)

Ist vielleicht auch noch wichtig:
Emsisoft hat wieder einen Trojaner gemeldet.
Hier die Quarantäneliste:

HTML-Code:
All processes killed
========== OTL ==========
C:\ProgramData\-WnoFQbjneGr moved successfully.
C:\ProgramData\-WnoFQbjneG moved successfully.
Registry key HKEY_USERS\S-1-5-21-3778007921-2159278055-2083024639-1003\Software\Microsoft\Internet Explorer\SearchScopes\{C311C248-D7DE-4619-BBA2-271264ECF7E9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C311C248-D7DE-4619-BBA2-271264ECF7E9}\ not found.
C:\Users\Bille\AppData\Roaming\Xatah folder moved successfully.
C:\Users\Bille\AppData\Roaming\Unfiho folder moved successfully.
C:\Users\Bille\AppData\Roaming\Oqky folder moved successfully.
C:\Users\Bille\AppData\Roaming\Penou folder moved successfully.
C:\Users\Bille\AppData\Roaming\Nyvu folder moved successfully.
C:\Users\Bille\AppData\Roaming\Ciuze folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Bille
->Temp folder emptied: 79926142 bytes
->Temporary Internet Files folder emptied: 328238 bytes
->Java cache emptied: 22153247 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 78611 bytes
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56475 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1330 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 98,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 02262013_215433

Files\Folders moved on Reboot...
C:\Windows\temp\JET537C.tmp moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Viele Grüße
Garfield2704

aharonov 27.02.2013 00:39
Hallo,

Zitat:
Ist vielleicht auch noch wichtig:
Emsisoft hat wieder einen Trojaner gemeldet.
Hier die Quarantäneliste:
Das ist immer wichtig, ja!
Aber ich glaub, du hast das alte OTL-Fixlog eingefügt anstatt der Quarantäneliste. ;)

Garfield2704 27.02.2013 00:43
Hallo Leo,
o ja, sorry, ich hatte grade zwei Fenster auf.
Hier nun die richtige Liste:
Code:
Emsisoft Anti-Malware v. 7.0.0.18
(C) 2003-2013 Emsisoft - www.emsisoft.com

ID  Object
0    C:\Users\Bille\AppData\Local\Temp\Temporary Internet Files\Content.IE5\HJZJOF5K\turbo411_com[1].htm  Dropped:Trojan.JS.Agent.ILJ (B)
1    C:\Users\Bille\2676591.exe  Gen:Variant.Graftor.Elzob.24588 (B)
2    C:\Users\Bille\4587060.exe  Gen:Variant.Graftor.Elzob.24588 (B)
3    C:\Users\Bille\7128027.exe  Gen:Variant.Graftor.Elzob.24588 (B)
4    C:\Users\Bille\5527051.exe  Trojan.Win32.Yakes.cjmo.AMN (A)
5    C:\ProgramData\Avira\AntiVir Desktop\INFECTED\54adc967.qua  Gen:Variant.Zusy.36952 (B)
6    C:\Users\Bille\0k23f5q8eozfv.exe  Trojan.Win32.Yakes.cjmo.AMN (A)
7    C:\Users\Bille\AppData\Roaming\Nyvu\quysa.exe  Gen:Variant.Kazy.145409 (B)
8    C:\Users\Bille\wgsdgsdgdsgsd.exe  Trojan.Win32.ZAccess (A)
9    C:\Users\Bille\awt43abr.exe  Trojan.Generic.KDZ.8573 (B)
10  C:\Users\Bille\AppData\Local\Temp\7.817780274771519E8.exe  Gen:Variant.Zusy.36956 (B)
11  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55bbf4e1.qua  Trojan.Injector.ANT (B)
12  C:\Program Files\PDF-to-Word\demos\p2wagent.exe  Trojan.Win32.PSW.PdfCracker.cx (A)
13  C:\ProgramData\2A26FEA5ABD1BE6200002A26D483C34E\2A26FEA5ABD1BE6200002A26D483C34E.ico  Rogue.Win32.SystemProtection (A)
14  Value: hkey_users\s-1-5-21-3778007921-2159278055-2083024639-1003\software\gamehouse\bigislandblends -> NORMALEXIT  Trace.Registry.GameFiesta Big Island Blends (A)
15  C:\Users\Bille\AppData\Local\Temp\Temporary Internet Files\Content.IE5\DX2ILFEP\turbo411_com[1].htm  Dropped:Trojan.JS.Agent.ILJ (B)
16  Value: hkey_users\s-1-5-21-3778007921-2159278055-2083024639-1003\software\gamehouse\bigislandblends -> NORMALEXIT  Trace.Registry.GameFiesta Big Island Blends (A)
17  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\558bdc77.qua  Trojan.Sirefef.MC (B)
18  C:\$RECYCLE.BIN\S-1-5-21-3778007921-2159278055-2083024639-1003\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@  Trojan.Win32.Conedex.AMN (A)
19  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4ddee15a.qua  Trojan.Sirefef.MC (B)
20  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\540fd455.qua  Trojan.Sirefef.MC (B)
21  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5559de07.qua  Trojan.Sirefef.MC (B)
22  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4df1fa1c.qua  Trojan.Sirefef.MC (B)
23  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4d0af5b8.qua  Trojan.Sirefef.MC (B)
24  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4de2fb74.qua  Trojan.Sirefef.MC (B)
25  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55d0dc8c.qua  Trojan.Sirefef.MC (B)
26  C:\$RECYCLE.BIN\S-1-5-21-3778007921-2159278055-2083024639-1003\$f44ef113dd481a83252d2572d863fd1f\U\80000000.@  Trojan.Sirefef.RG (B)
27  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55c4d6ba.qua  Trojan.Sirefef.MC (B)
28  C:\ProgramData\2A26FEA5ABD1BE6200002A26D483C34E\2A26FEA5ABD1BE6200002A26D483C34E.ico  Rogue.Win32.SystemProtection (A)
29  C:\$RECYCLE.BIN\S-1-5-21-3778007921-2159278055-2083024639-1003\$f44ef113dd481a83252d2572d863fd1f\U\800000cb.@  Trojan.Sirefef.MC (B)
30  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5768fc43.qua  Trojan.Script.480616 (B)
31  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55d3fe4a.qua  Trojan.Script.480616 (B)
32  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55a4f973.qua  Trojan.Script.480616 (B)
33  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5788ffd3.qua  Trojan.Script.480616 (B)
34  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4a1def2d.qua  Trojan.Sirefef.MC (B)
35  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4c89ebf7.qua  Trojan.Sirefef.MC (B)
36  C:\Program Files\PDF-to-Word\demos\p2wagent.exe  Trojan.Win32.PSW.PdfCracker.cx (A)
37  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\553df2c2.qua  Trojan.Script.480616 (B)
38  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\54cffe19.qua  Trojan.Script.480616 (B)
39  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5575d4d3.qua  Trojan.Sirefef.RG (B)
40  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\559dda1f.qua  Trojan.Sirefef.RG (B)
41  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\4d76d6de.qua  Trojan.Script.480616 (B)
42  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\54c1ff0b.qua  Trojan.Script.480616 (B)
43  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5596d135.qua  Trojan.Sirefef.RG (B)
44  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5442f23c.qua  Trojan.Script.480616 (B)
45  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\541ade43.qua  Trojan.Sirefef.RG (B)
46  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\541aca20.qua  Trojan.Zbot.HYT (B)
47  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5566d5bb.qua  Trojan.Sirefef.RG (B)
48  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\528ac08b.qua  Trojan.Sirefef.RG (B)
49  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5425d2ba.qua  Trojan.Sirefef.RG (B)
50  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5549cefd.qua  Trojan.Sirefef.RG (B)
51  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\5540df9f.qua  Trojan.Sirefef.RG (B)
52  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\55f8c81d.qua  Trojan.Generic.KDV.859530 (B)
53  C:\ProgramData\Avira\AntiVir Desktop\INFECTED\541ec450.qua  Trojan.Sirefef.RG (B)
54  C:\Users\Bille\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\7268ce85-7e7b7044  Exploit.JAVA.CVE-2012-0507.BO (B)
Viele Grüße
Garfield2704

aharonov 27.02.2013 00:49
Eine richtige Sammlung... :eek:
(Ich melde mich dann morgen wieder.)


Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinen Desktop.
  • Entpacke das Archiv auf deinem Desktop.
  • Im neu erstellten Ordner starte bitte die mbar.exe.
  • Wenn eine Warnung "Registry value AppInit_Dlls has been found, .." erscheint, drücke Nein.
  • Folge dann den Anweisungen, führe das Update aus und drücke dann Scan.
Falls Funde angezeigt werden:
  • Klicke auf den CleanUp Button und erlaube den Neustart.
  • Während des Neustarts wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
  • Nach dem Neustart starte die mbar.exe erneut und wiederhole den Scan.
  • Sollte nochmals was gefunden werden, führe erneut den CleanUp-Prozess durch.
Das Tool wird im erstellten Ordner Logfiles (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste deren Inhalt hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers.



Bitte poste in deiner nächsten Antwort:
  • Log von MBAR

Garfield2704 27.02.2013 06:47
Hallo Leo,
hier Die Datei:
Code:
Malwarebytes Anti-Rootkit BETA 1.01.0.1020
www.malwarebytes.org

Database version: v2013.02.26.11

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Bille :: BILLE-PC [administrator]

27.02.2013 01:10:52
mbar-log-2013-02-27 (01-10-52).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 29445
Time elapsed: 14 minute(s), 52 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 4
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\MBR_0_infected.mbam (Bootkit.TDL4.A.MBR) -> Delete on reboot.
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Sector_0_976758544_user.mbam (Forged physical sector) -> Delete on reboot.
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Sector_0_976771154_user.mbam (Forged physical sector) -> Delete on reboot.
C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Sector_0_976773167_user.mbam (Forged physical sector) -> Delete on reboot.

(end)
Du hattest gefragt, ob so weit alles okay ist....
Meine angeschlossenen Festplatte (Partition D:) ist immer noch "verschlüsselt".

Viele Grüße
Garfield2704

aharonov 27.02.2013 10:42
Hallo,

TDL4 war auch mal bei dir zu Gast. :wtf:
Ich möchte nicht den Moralfinger heben, aber etwas ist hier auf deinem Computer in der Vergangenheit gewaltig schiefgelaufen. Da tauchen jede Menge unschöne Sachen auf und dass diese beiden Tools nicht laufen, ist auch noch sehr störend..

Es bleibt deine Entscheidung, wie du fortfahren willst, aber ich möchte dich darauf hinweisen, dass ein radikaler sauberer Neuanfang in so einer Situation auch eine gute Option ist.


Zitat:
Meine angeschlossenen Festplatte (Partition D ist immer noch "verschlüsselt".
Das ist jetzt aber hoffentlich nicht die neue Festplatte mit dem neuen Backup?


Hast du mit MBAR nach dem cleanup dann nochmals einen zweiten Scan gemacht und der war sauber?

Versuch bitte mal noch das:


Lade dir MbrScan herunter und speichere es auf den Desktop.
  • Starte die MbrScan.exe.
  • Drücke auf Scan.
  • Wenn der Scan abgeschlossen ist, drücke auf Report.
  • Es öffnet sich ein Notepadfenster. Bitte poste dessen gesamten Inhalt hier.
    (Nachträglich findest du diese Logdatei auch unter MbrScan.log auf dem Dekstop.)

Garfield2704 27.02.2013 15:35
Hallo Leo,
musste erst einmal googeln, was TDL4 ist.

Ich habe heute Nacht zweimal MBAR laufen lassen. bei zweiten Mal ist alles clean gewesen. Hier die zweite Datei:
HTML-Code:
Malwarebytes Anti-Rootkit BETA 1.01.0.1020
www.malwarebytes.org

Database version: v2013.02.26.11

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Bille :: BILLE-PC [administrator]

27.02.2013 01:34:56
mbar-log-2013-02-27 (01-34-56).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 29481
Time elapsed: 13 minute(s), 59 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Bei der veschlüsselten Festplatte handelt es sich um die alte. Die neue, die ich erst seit Samstag habe, habe ich nach dem Sichern der Dateien wieder "abgedockt".


Ich habe aber auch mal eine freudige Nachricht zu überbringen.
Die beiden Programme, die vorher nicht funktioniert haben (konnten nicht gestartet werden), kann ich jetzt starten. ich habe sie noch nicht laufen lassen. Wollte erst dich fragen.

Vielleicht gibt es noch Licht am Tunnel????:lach:

Viele Grüße
Garfield2704

aharonov 27.02.2013 15:46
Hallo,

Zitat:
Die neue, die ich erst seit Samstag habe, habe ich nach dem Sichern der Dateien wieder "abgedockt".
Das ist gut. :daumenhoc

Zitat:
Ich habe aber auch mal eine freudige Nachricht zu überbringen.
Die beiden Programme, die vorher nicht funktioniert haben (konnten nicht gestartet werden), kann ich jetzt starten. ich habe sie noch nicht laufen lassen. Wollte erst dich fragen.

Vielleicht gibt es noch Licht am Tunnel????:lach:
Ich weiss nicht, ob dieses Licht bereits das Ende des Tunnels wär oder erst die beleuchtete Markierung für einen Notstollen. ;)
Aber es wär sicher ein Anfang. Dann lass diese Programme bitte laufen, ich poste nochmals die Anleitungen dazu:


Schritt 1

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinen Desktop.
  • Starte die aswMBR.exe.
    Vista und Win7 User mit Rechtsklick "als Admininstartor ausführen".
  • Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von avast! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff aufs Internet zulassen.)
    Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
  • Klicke auf Scan.
  • Warte bitte, bis Scan finished successfully im DOS Fenster steht.
  • Drücke auf Save Log und speichere die Datei auf dem Desktop.
Poste mir diese aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung.

Hinweis: Sollte der Scan Button ausgeblendet sein, schliesse das Tool und starte es erneut. Sollte es erneut nicht klappen, teile mir das bitte mit.



Schritt 2

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts löschen, sondern nur einen Scan-Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.
  • Starte die TDSSKiller.exe.
  • Drücke Start Scan.
  • Warnung: Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
  • TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
  • Poste bitte den Inhalt dieses Logfiles hier in den Thread.

Garfield2704 27.02.2013 18:36
Hallo Leo,
hier die Logfiles:

Code:
aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-27 17:05:03
-----------------------------
17:05:03.428    OS Version: Windows 6.0.6002 Service Pack 2
17:05:03.428    Number of processors: 2 586 0xF0B
17:05:03.429    ComputerName: BILLE-PC  UserName: Bille
17:05:05.154    Initialize success
17:05:13.895    AVAST engine defs: 13022700
17:05:20.566    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\00000055
17:05:20.568    Disk 0 Vendor: WDC_WD50 01.0 Size: 476940MB BusType: 6
17:05:20.569    Disk 1  \Device\Harddisk1\DR1 -> \Device\00000056
17:05:20.570    Disk 1 Vendor: Hitachi_ ST6O Size: 953869MB BusType: 6
17:05:20.615    Disk 0 MBR read successfully
17:05:20.616    Disk 0 MBR scan
17:05:20.651    Disk 0 Windows VISTA default MBR code
17:05:20.670    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS      241979 MB offset 63
17:05:20.707    Disk 0 Partition 2 00    06        FAT16 NTFS      214476 MB offset 495572992
17:05:20.710    Disk 0 Partition - 00    0F Extended LBA            20481 MB offset 934822350
17:05:20.782    Disk 0 Partition 3 00    0B        FAT32 MSDOS5.0    20481 MB offset 934822413
17:05:20.799    Disk 0 scanning sectors +976768065
17:05:20.904    Disk 0 scanning C:\Windows\system32\drivers
17:05:31.729    Service scanning
17:05:46.423    Service sptd C:\Windows\System32\Drivers\sptd.sys **LOCKED** 32
17:05:50.896    Modules scanning
17:06:01.753    Disk 0 trace - called modules:
17:06:01.772    ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x862241f8]<<
17:06:01.775    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8705bac8]
17:06:01.777    3 CLASSPNP.SYS[895a68b3] -> nt!IofCallDriver -> [0x8627fb68]
17:06:01.779    5 acpi.sys[805be6bc] -> nt!IofCallDriver -> \Device\00000055[0x86288c90]
17:06:01.782    \Driver\nvstor32[0x86291d38] -> IRP_MJ_CREATE -> 0x862241f8
17:06:04.406    AVAST engine scan C:\Windows
17:06:10.034    AVAST engine scan C:\Windows\system32
17:08:55.253    AVAST engine scan C:\Windows\system32\drivers
17:09:07.212    AVAST engine scan C:\Users\Bille
17:39:38.805    AVAST engine scan C:\ProgramData
18:07:31.553    Scan finished successfully
18:09:27.571    Disk 0 MBR has been saved successfully to "C:\Users\Bille\Documents\Desktop\MBR.dat"
18:09:27.574    The log file has been saved successfully to "C:\Users\Bille\Documents\Desktop\aswMBR.txt"
Leider kann ich das Logfile von TDSSKiller nicht posten, ist zu lang. Die Datei lässt sich auch nicht zippen.
Ich versuche es, anzuhängen.....

Geht leider auch nicht, Fehlermeldung beim Zippen (habe es mit 7-zip und auch mit WinRar probiert)

Viele Grüße
Garfield2704

aharonov 27.02.2013 18:57
Zitat:
Geht leider auch nicht, Fehlermeldung beim Zippen (habe es mit 7-zip und auch mit WinRar probiert)
Klappt es mit Rechtsklick auf die Datei -> Senden an -> zip-komprimierter Ordner ?

Ansonsten lade das Logfile hier hoch und poste den Link dazu.

Garfield2704 27.02.2013 19:41
Hallo Leo,

gute Idee!!!
Scheint zu klappen.

Viele Grüße
Garfield2704

aharonov 27.02.2013 19:52
Prima :daumenhoc

Jetzt nimmt mich etwas aber noch wunder:
Kannst du bitte im Programm Malwarebytes Anti-Malware im Reiter Logdateien alle Logs heraussuchen, in welchen etwas gefunden wurde, und diese hier posten. Siehe hier: http://www.trojaner-board.de/125889-...tml#post941532

Garfield2704 27.02.2013 20:48
Hallo Leo,
musste mich erst einmal in die Materie einarbeiten.

Hier die Logs. Ich hoffe, ich mache alles richtig.

Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
Malwarebytes : Free anti-malware download

Datenbank Version: v2012.12.09.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Bille :: BILLE-PC [Administrator]

Schutz: Aktiviert

09.12.2012 19:59:27
mbam-log-2012-12-09 (19-59-27).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|M:\|S:\|Z:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 616463
Laufzeit: 3 Stunde(n), 8 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\ProgramData\2A26FEA5ABD1BE6200002A26D483C34E\2A26FEA5ABD1BE6200002A26D483C34E.EXE (Trojan.LameShield) -> 2316 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\System Progressive Protection (Trojan.LameShield) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|2A26FEA5ABD1BE6200002A26D483C34E (Trojan.LameShield) -> Daten: C:\ProgramData\2A26FEA5ABD1BE6200002A26D483C34E\2A26FEA5ABD1BE6200002A26D483C34E.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\$Recycle.Bin\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\$Recycle.Bin\S-1-5-21-3778007921-2159278055-2083024639-1003\$f44ef113dd481a83252d2572d863fd1f\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 1
C:\Users\Bille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SYSTEM PROGRESSIVE PROTECTION (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 11
C:\ProgramData\2A26FEA5ABD1BE6200002A26D483C34E\2A26FEA5ABD1BE6200002A26D483C34E.EXE (Trojan.LameShield) -> Löschen bei Neustart.
C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\n (Trojan.0Access) -> Löschen bei Neustart.
C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\80000000.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\800000cb.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$RECYCLE.BIN\S-1-5-21-3778007921-2159278055-2083024639-1003\$f44ef113dd481a83252d2572d863fd1f\n (Trojan.0Access) -> Löschen bei Neustart.
C:\Users\Bille\AppData\Local\Temp\~!#DB0C.tmp (Trojan.Agent.GNI) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SYSTEM PROGRESSIVE PROTECTION\SYSTEM PROGRESSIVE PROTECTION.LNK (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SYSTEM PROGRESSIVE PROTECTION\System Progressive Protection Support Site.url (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bille\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SYSTEM PROGRESSIVE PROTECTION\Uninstall.lnk (Rogue.SystemProgressiveProtection) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bille\Documents\Downloads\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Erfolgreich gelöscht und in Quarantäne gestellt.
Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.13.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Bille :: BILLE-PC [Administrator]

Schutz: Aktiviert

13.12.2012 22:57:25
mbam-log-2012-12-13 (22-57-25).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 223097
Laufzeit: 11 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Users\Bille\AppData\Local\Temp\NOK4C.exe (Trojan.Agent.DD69Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Code:
Malwarebytes Anti-Malware (Test) 1.65.1.1000
www.malwarebytes.org

Datenbank Version: v2012.12.14.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Bille :: BILLE-PC [Administrator]

Schutz: Aktiviert

14.12.2012 20:09:21
mbam-log-2012-12-14 (20-09-21).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|F:\|M:\|S:\|Z:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 473697
Laufzeit: 3 Stunde(n), 26 Minute(n), 42 Sekunde(n) [Abgebrochen]

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Users\Bille\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24\485794d8-5786426e (Trojan.PornoAsset) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bille\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\5175bf08-25963dc9 (Trojan.Agent.DD69Gen) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.03.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Bille :: BILLE-PC [Administrator]

03.02.2013 18:17:08
mbam-log-2013-02-03 (18-17-08).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 222501
Laufzeit: 10 Minute(n), 23 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 3
C:\$RECYCLE.BIN\S-1-5-21-3778007921-2159278055-2083024639-1003\$f44ef113dd481a83252d2572d863fd1f\n (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bille\AppData\Local\Temp\8128666.exe (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bille\AppData\Local\Temp\msimg32.dll (Rootkit.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.03.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Bille :: BILLE-PC [Administrator]

08.02.2013 20:12:00
mbam-log-2013-02-08 (20-12-00).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|M:\|S:\|Z:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 694261
Laufzeit: 3 Stunde(n), 28 Minute(n), 59 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\$RECYCLE.BIN\S-1-5-21-3778007921-2159278055-2083024639-1003\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\Bille\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\674546ba-6c605fd8 (Spyware.Passwords.ED) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)
Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.09.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Bille :: BILLE-PC [Administrator]

11.02.2013 20:37:31
mbam-log-2013-02-11 (20-37-31).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 222267
Laufzeit: 7 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 6
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\$Recycle.Bin\S-1-5-21-3778007921-2159278055-2083024639-1003\$f44ef113dd481a83252d2572d863fd1f\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\$RECYCLE.BIN\S-1-5-21-3778007921-2159278055-2083024639-1003\$f44ef113dd481a83252d2572d863fd1f\n (Trojan.0Access) -> Löschen bei Neustart.

(Ende)
Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.09.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Bille :: BILLE-PC [Administrator]

11.02.2013 21:20:09
mbam-log-2013-02-11 (21-20-09).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 223657
Laufzeit: 18 Minute(n), 46 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 5
HKCU\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)
Code:
Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.11.09

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Bille :: BILLE-PC [Administrator]

11.02.2013 21:47:25
mbam-log-2013-02-11 (21-47-25).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 223994
Laufzeit: 12 Minute(n), 56 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\ProgramData\WNOFQBJNEG.EXE (Trojan.FakeAlert) -> 1540 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|WnoFQbjneG.exe (Trojan.FakeAlert) -> Daten: C:\ProgramData\WnoFQbjneG.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 5
HKCU\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\ProgramData\WNOFQBJNEG.EXE (Trojan.FakeAlert) -> Löschen bei Neustart.

(Ende)
Code:
2012/12/09 19:58:42 +0100        BILLE-PC        Bille        MESSAGE        Executing scheduled update:  Daily
2012/12/09 19:58:45 +0100        BILLE-PC        Bille        MESSAGE        Starting protection
2012/12/09 19:58:45 +0100        BILLE-PC        Bille        MESSAGE        Protection started successfully
2012/12/09 19:58:45 +0100        BILLE-PC        Bille        MESSAGE        Starting IP protection
2012/12/09 19:58:45 +0100        BILLE-PC        Bille        ERROR        IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2012/12/09 19:58:52 +0100        BILLE-PC        Bille        MESSAGE        Scheduled update executed successfully:  database updated from version v2012.09.29.05 to version v2012.12.09.04
2012/12/09 19:58:52 +0100        BILLE-PC        Bille        MESSAGE        Starting database refresh
2012/12/09 19:58:54 +0100        BILLE-PC        Bille        MESSAGE        Database refreshed successfully
2012/12/09 19:58:55 +0100        BILLE-PC        Bille        MESSAGE        Starting database refresh
2012/12/09 19:58:57 +0100        BILLE-PC        Bille        MESSAGE        Database refreshed successfully
2012/12/09 20:06:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        QUARANTINE
2012/12/09 20:07:34 +0100        BILLE-PC        Bille        DETECTION        c:\$recycle.bin\s-1-5-18\$f44ef113dd481a83252d2572d863fd1f\u\00000001.@        Trojan.0Access        DENY
2012/12/09 20:08:35 +0100        BILLE-PC        Bille        DETECTION        c:\$recycle.bin\s-1-5-18\$f44ef113dd481a83252d2572d863fd1f\u\00000001.@        Trojan.0Access        DENY
2012/12/09 20:09:35 +0100        BILLE-PC        Bille        DETECTION        c:\$recycle.bin\s-1-5-18\$f44ef113dd481a83252d2572d863fd1f\u\00000001.@        Trojan.0Access        DENY
2012/12/09 20:10:24 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:10:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:10:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:11:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:11:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:12:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:12:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:13:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:13:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:14:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:14:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:15:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:15:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:16:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:17:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:17:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:18:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:19:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:19:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:20:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:21:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:21:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:22:37 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:23:37 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:23:37 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:24:37 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:25:38 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:25:38 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:26:38 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:27:38 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:27:38 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:28:38 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:29:39 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:29:39 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:30:39 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:31:39 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:31:40 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:32:40 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:33:40 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:33:40 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:34:40 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:35:41 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:35:41 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:36:41 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:37:41 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:37:42 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:38:42 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:39:42 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:39:42 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:40:42 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:41:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:41:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:42:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:43:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:43:44 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:44:44 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:45:44 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:45:44 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:46:44 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:47:44 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:47:45 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:48:45 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:49:45 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:49:45 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:50:45 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:51:46 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:51:46 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:52:46 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:53:46 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:53:46 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:54:47 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:55:47 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:55:47 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:56:47 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:57:47 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:57:48 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:58:48 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:59:48 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:59:48 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:00:48 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:01:48 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:01:49 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:02:49 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:03:49 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:03:49 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:04:49 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:05:50 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:05:50 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:06:50 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:07:50 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:07:51 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:08:51 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:09:51 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:09:51 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:10:51 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:11:51 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:11:52 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:12:52 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:13:52 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:13:52 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:14:52 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:15:53 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:15:53 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:16:53 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:17:53 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:17:53 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:18:54 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:19:54 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:19:54 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:20:54 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:21:54 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:21:55 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:22:55 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:23:55 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:23:55 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:24:55 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:25:56 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:25:56 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:26:56 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:27:56 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:27:57 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:28:57 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:29:57 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:29:57 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:30:58 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:31:58 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:31:58 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:32:58 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:33:59 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:33:59 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:34:59 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:36:00 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:36:00 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:37:00 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:38:01 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:38:01 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:39:01 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:40:01 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:40:02 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:41:02 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:42:02 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:42:02 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:43:02 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:44:03 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:44:03 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:45:03 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:46:03 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:46:04 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:47:04 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:48:04 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:48:04 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:49:04 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:50:05 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:50:05 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:51:05 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:52:05 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:52:05 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:53:06 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:54:06 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:54:06 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:55:06 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:56:07 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:56:07 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:57:07 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:58:07 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:58:08 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:59:08 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:00:08 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:00:09 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:01:09 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:02:09 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:02:10 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:03:10 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:04:10 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:04:10 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:05:10 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:06:11 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:06:11 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:07:11 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:08:11 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:08:12 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:09:12 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:10:12 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:10:12 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:11:12 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:12:13 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:12:13 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:13:13 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:14:13 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:14:14 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:15:14 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:16:14 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:16:14 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:17:14 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:18:14 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:18:15 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:19:15 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:20:15 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:20:15 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:21:16 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:22:16 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:22:16 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:23:16 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:24:17 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:24:17 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:25:17 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:26:18 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:26:18 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:27:18 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:28:18 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:28:18 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:29:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:30:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:30:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:31:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:32:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:32:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:33:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:34:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:34:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:35:20 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:36:20 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:36:20 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:37:20 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:38:20 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:38:21 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:39:21 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:40:21 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:40:21 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:41:21 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:42:21 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:42:22 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:43:22 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:44:22 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:44:22 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:45:22 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:46:22 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:46:23 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:47:23 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:48:23 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:48:23 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:49:23 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:50:24 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:50:24 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:51:24 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:52:25 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:52:25 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:53:25 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:54:25 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:54:26 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:55:26 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:56:26 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:56:26 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:57:26 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:58:27 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:58:27 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:59:27 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:00:27 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:00:28 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:01:28 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:02:28 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:02:28 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:03:28 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:04:29 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:04:29 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:05:29 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:06:30 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:06:30 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:07:30 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:08:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:08:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:09:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:10:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:10:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:11:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:12:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:12:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:13:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:14:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:14:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:15:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:16:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:16:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:17:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:18:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:18:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:19:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:20:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:20:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:21:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:22:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:22:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:23:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:24:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:24:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:25:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:26:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:26:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:27:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:28:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:28:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:29:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:30:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:30:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:31:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:32:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:32:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:33:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:34:34 +0100        BILLE-PC        Bille        DETECTION        c:\$recycle.bin\s-1-5-18\$f44ef113dd481a83252d2572d863fd1f\u\00000001.@        Trojan.0Access        DENY
2012/12/09 23:35:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\800000cb.@        Trojan.0Access        QUARANTINE
2012/12/09 23:35:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\80000000.@        Trojan.0Access        QUARANTINE
2012/12/09 23:35:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:35:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:36:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:36:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:37:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:38:45 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:38:53 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:39:25 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\80000000.@        Trojan.0Access        DENY
2012/12/09 23:39:26 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\800000cb.@        Trojan.0Access        DENY
2012/12/09 23:39:54 +0100        BILLE-PC        (null)        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:41:43 +0100        BILLE-PC        Bille        MESSAGE        Starting protection
2012/12/09 23:41:43 +0100        BILLE-PC        Bille        MESSAGE        Protection started successfully
2012/12/09 23:41:43 +0100        BILLE-PC        Bille        MESSAGE        Starting IP protection
2012/12/09 23:41:43 +0100        BILLE-PC        Bille        ERROR        IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2012/12/09 23:53:27 +0100        BILLE-PC        Bille        MESSAGE        Starting IP protection
2012/12/09 23:53:27 +0100        BILLE-PC        Bille        ERROR        IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2012/12/09 23:53:29 +0100        BILLE-PC        Bille        MESSAGE        Starting IP protection
2012/12/09 23:53:29 +0100        BILLE-PC        Bille        ERROR        IP protection failed:  FwpmEngineOpen0 failed with error code 1753
Code:
2012/12/09 19:58:42 +0100        BILLE-PC        Bille        MESSAGE        Executing scheduled update:  Daily
2012/12/09 19:58:45 +0100        BILLE-PC        Bille        MESSAGE        Starting protection
2012/12/09 19:58:45 +0100        BILLE-PC        Bille        MESSAGE        Protection started successfully
2012/12/09 19:58:45 +0100        BILLE-PC        Bille        MESSAGE        Starting IP protection
2012/12/09 19:58:45 +0100        BILLE-PC        Bille        ERROR        IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2012/12/09 19:58:52 +0100        BILLE-PC        Bille        MESSAGE        Scheduled update executed successfully:  database updated from version v2012.09.29.05 to version v2012.12.09.04
2012/12/09 19:58:52 +0100        BILLE-PC        Bille        MESSAGE        Starting database refresh
2012/12/09 19:58:54 +0100        BILLE-PC        Bille        MESSAGE        Database refreshed successfully
2012/12/09 19:58:55 +0100        BILLE-PC        Bille        MESSAGE        Starting database refresh
2012/12/09 19:58:57 +0100        BILLE-PC        Bille        MESSAGE        Database refreshed successfully
2012/12/09 20:06:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        QUARANTINE
2012/12/09 20:07:34 +0100        BILLE-PC        Bille        DETECTION        c:\$recycle.bin\s-1-5-18\$f44ef113dd481a83252d2572d863fd1f\u\00000001.@        Trojan.0Access        DENY
2012/12/09 20:08:35 +0100        BILLE-PC        Bille        DETECTION        c:\$recycle.bin\s-1-5-18\$f44ef113dd481a83252d2572d863fd1f\u\00000001.@        Trojan.0Access        DENY
2012/12/09 20:09:35 +0100        BILLE-PC        Bille        DETECTION        c:\$recycle.bin\s-1-5-18\$f44ef113dd481a83252d2572d863fd1f\u\00000001.@        Trojan.0Access        DENY
2012/12/09 20:10:24 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:10:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:10:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:11:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:11:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:12:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:12:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:13:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:13:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:14:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:14:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:15:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:15:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:16:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:17:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:17:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:18:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:19:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:19:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:20:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:21:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:21:36 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:22:37 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:23:37 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:23:37 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:24:37 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:25:38 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:25:38 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:26:38 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:27:38 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:27:38 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:28:38 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:29:39 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:29:39 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:30:39 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:31:39 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:31:40 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:32:40 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:33:40 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:33:40 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:34:40 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:35:41 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:35:41 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:36:41 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:37:41 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:37:42 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:38:42 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:39:42 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:39:42 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:40:42 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:41:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:41:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:42:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:43:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:43:44 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:44:44 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:45:44 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:45:44 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:46:44 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:47:44 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:47:45 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:48:45 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:49:45 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:49:45 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:50:45 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:51:46 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:51:46 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:52:46 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:53:46 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:53:46 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:54:47 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:55:47 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:55:47 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:56:47 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:57:47 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:57:48 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:58:48 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:59:48 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 20:59:48 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:00:48 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:01:48 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:01:49 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:02:49 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:03:49 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:03:49 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:04:49 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:05:50 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:05:50 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:06:50 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:07:50 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:07:51 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:08:51 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:09:51 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:09:51 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:10:51 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:11:51 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:11:52 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:12:52 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:13:52 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:13:52 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:14:52 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:15:53 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:15:53 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:16:53 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:17:53 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:17:53 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:18:54 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:19:54 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:19:54 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:20:54 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:21:54 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:21:55 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:22:55 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:23:55 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:23:55 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:24:55 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:25:56 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:25:56 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:26:56 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:27:56 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:27:57 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:28:57 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:29:57 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:29:57 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:30:58 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:31:58 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:31:58 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:32:58 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:33:59 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:33:59 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:34:59 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:36:00 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:36:00 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:37:00 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:38:01 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:38:01 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:39:01 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:40:01 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:40:02 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:41:02 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:42:02 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:42:02 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:43:02 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:44:03 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:44:03 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:45:03 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:46:03 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:46:04 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:47:04 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:48:04 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:48:04 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:49:04 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:50:05 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:50:05 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:51:05 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:52:05 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:52:05 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:53:06 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:54:06 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:54:06 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:55:06 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:56:07 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:56:07 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:57:07 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:58:07 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:58:08 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 21:59:08 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:00:08 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:00:09 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:01:09 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:02:09 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:02:10 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:03:10 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:04:10 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:04:10 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:05:10 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:06:11 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:06:11 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:07:11 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:08:11 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:08:12 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:09:12 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:10:12 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:10:12 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:11:12 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:12:13 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:12:13 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:13:13 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:14:13 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:14:14 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:15:14 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:16:14 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:16:14 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:17:14 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:18:14 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:18:15 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:19:15 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:20:15 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:20:15 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:21:16 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:22:16 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:22:16 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:23:16 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:24:17 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:24:17 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:25:17 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:26:18 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:26:18 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:27:18 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:28:18 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:28:18 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:29:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:30:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:30:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:31:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:32:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:32:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:33:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:34:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:34:19 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:35:20 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:36:20 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:36:20 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:37:20 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:38:20 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:38:21 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:39:21 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:40:21 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:40:21 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:41:21 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:42:21 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:42:22 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:43:22 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:44:22 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:44:22 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:45:22 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:46:22 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:46:23 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:47:23 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:48:23 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:48:23 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:49:23 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:50:24 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:50:24 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:51:24 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:52:25 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:52:25 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:53:25 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:54:25 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:54:26 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:55:26 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:56:26 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:56:26 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:57:26 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:58:27 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:58:27 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 22:59:27 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:00:27 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:00:28 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:01:28 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:02:28 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:02:28 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:03:28 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:04:29 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:04:29 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:05:29 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:06:30 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:06:30 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:07:30 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:08:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:08:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:09:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:10:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:10:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:11:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:12:31 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:12:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:13:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:14:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:14:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:15:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:16:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:16:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:17:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:18:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:18:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:19:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:20:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:20:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:21:32 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:22:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:22:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:23:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:24:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:24:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:25:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:26:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:26:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:27:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:28:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:28:33 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:29:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:30:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:30:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:31:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:32:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:32:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:33:34 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:34:34 +0100        BILLE-PC        Bille        DETECTION        c:\$recycle.bin\s-1-5-18\$f44ef113dd481a83252d2572d863fd1f\u\00000001.@        Trojan.0Access        DENY
2012/12/09 23:35:35 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\800000cb.@        Trojan.0Access        QUARANTINE
2012/12/09 23:35:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\80000000.@        Trojan.0Access        QUARANTINE
2012/12/09 23:35:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:35:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:36:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:36:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:37:43 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:38:45 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$F44EF113DD481A83252D2572D863FD1F\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:38:53 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:39:25 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\80000000.@        Trojan.0Access        DENY
2012/12/09 23:39:26 +0100        BILLE-PC        Bille        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\800000cb.@        Trojan.0Access        DENY
2012/12/09 23:39:54 +0100        BILLE-PC        (null)        DETECTION        C:\$RECYCLE.BIN\S-1-5-18\$f44ef113dd481a83252d2572d863fd1f\U\00000001.@        Trojan.0Access        DENY
2012/12/09 23:41:43 +0100        BILLE-PC        Bille        MESSAGE        Starting protection
2012/12/09 23:41:43 +0100        BILLE-PC        Bille        MESSAGE        Protection started successfully
2012/12/09 23:41:43 +0100        BILLE-PC        Bille        MESSAGE        Starting IP protection
2012/12/09 23:41:43 +0100        BILLE-PC        Bille        ERROR        IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2012/12/09 23:53:27 +0100        BILLE-PC        Bille        MESSAGE        Starting IP protection
2012/12/09 23:53:27 +0100        BILLE-PC        Bille        ERROR        IP protection failed:  FwpmEngineOpen0 failed with error code 1753
2012/12/09 23:53:29 +0100        BILLE-PC        Bille        MESSAGE        Starting IP protection
2012/12/09 23:53:29 +0100        BILLE-PC        Bille        ERROR        IP protection failed:  FwpmEngineOpen0 failed with error code 1753
Die letzten beiden Logs sind von einem andern Speicherort. derer gibt es noch viel mehr. Ich weiß allerdings nicht, ob diese Art von Logs auch von Interesse sind, deshalb habe ich erst einmal zwei hochgeladen.

Viele Grüße
Garfield2704

aharonov 27.02.2013 21:47
Hallo,

das ist ja ein ziemliches Gruselkabinett über die letzten 2 Monate.. :D
Also ich möchte dich noch einmal darauf hinweisen, dass es auch eine gute Option wäre, einmal alles neuzumachen hier und danach das System gut abzusichern, dass sowas nicht mehr vorkommt. Die Daten hast du ja bereits gesichert, es würde nicht so lange mehr dauern.

Es ist natürlich deine Entscheidung. Wie willst du fortfahren?

Garfield2704 27.02.2013 22:08
Hallo Leo,

ich glaube auch bald, es wäre die bessere Option. Ich habe zwar keine Ahnung, was da an Reparatur noch käme, aber ich denke, nicht wenig.

Früher, als ich noch Windows XP hatte, war das Neuaufspielen des Betriebssystems für mich gang und gäbe. So alle paar Monate war das nötig. Aber nicht wegen den Viren und Trojanern, es lief einfach nichts mehr.
Diesen Rechner habe ich jetzt, glaube ich, fast 5 Jahre, der lief bis dato immer störungsfrei.:huepp:
Auf alle Fälle muss man sich wohl schützen, bis jetzt hatte ich immer Avira Antivir. Ist wohl auch nicht der Hit. Jedenfalls nicht die Freeware.

Muss ich jetzt wohl wieder von der Recovery CD booten und Systemreparatur mit Löschen aller Dateien auf C: durchführen??

Viele Grüße
Garfield2704

Viele Grüße
Garfield2704

aharonov 27.02.2013 22:42
Hallo,

Zitat:
ich glaube auch bald, es wäre die bessere Option.
Gut, dann machen wir das so.
Mir würde es ja weiterhin Spass machen, hier rumzubasteln, aber das kostet dich noch mehr Zeit. Und wenn das mein Rechner wär, dann würd ich ihn mit dieser Vorgeschichte und in diesem Zustand ehrlich gesagt auch neu aufsetzen.. ;)

Zitat:
Diesen Rechner habe ich jetzt, glaube ich, fast 5 Jahre, der lief bis dato immer störungsfrei.
Nach 5 Jahren ist es sowieso mal eine gute Idee, das System neu zu machen. Das wird mit der Zeit auch nicht fitter. :)

Zitat:
Auf alle Fälle muss man sich wohl schützen, bis jetzt hatte ich immer Avira Antivir. Ist wohl auch nicht der Hit. Jedenfalls nicht die Freeware.
Der entscheidende Punkt ist nicht die Software, die du verwendest. Die machen alle Fehler.
Wichtig sind vor allem andere Punkte. Ich kann dir dann zum Schluss noch eine Liste mit Tipps mitgeben.

Zitat:
Muss ich jetzt wohl wieder von der Recovery CD booten und Systemreparatur mit Löschen aller Dateien auf C: durchführen??
Nein, du solltest nicht eine Systemreperatur durchführen, sondern eine komplette Formatierung der Festplatte und Neuinstallation des Betriebssystems machen.

Ich kann dir weiterhin helfen, bis alles neu gemacht und abgesichert ist, wenn du möchtest.
Melde dich einfach, wenn es Fragen oder Probleme gibt.

Garfield2704 27.02.2013 23:34
Hallo Leo,

vielen Dank erst einmal für deine Hilfe. Ich ziehe wirklich den Hut vor dir und vor allen fleißigen Helfern in diesem Board. Da braucht man bestimmt eine große Portion Enthusiasmus. Ich werde am Ende auch etwas spenden. :dankeschoen:

Ich hatte ja schon geschrieben, das ich nur eine Recovery-CD von Medion habe mit den Treibern für das System.
Habe mir alle angefügten Links angesehen, die sich mit der Neuaufsetzung von VISTA beschäftigen. Ich kenne den Bildschirm auch so (XP war ähnlich).
Bei dieser Support CD handelt es sich um eine Systemherstellung. So, wie ich gelesen habe, wird der PC in den Ausgangszustand versetzt.
Na mal sehen, was kommt.

Gerne nehme ich dein Hilfsangebot an. Ich melde mich, wenn ich so weit bin, dass ich wieder ins Internet kann. Ich glaube, dass geht mit dem Netbook auch nicht, wenn der Haupt-PC nicht online ist.

Herzliche Grüße
Garfield2704

aharonov 27.02.2013 23:54
Hallo,

Zitat:
wird der PC in den Ausgangszustand versetzt.
Ja, eine Zurücksetzung auf Werkseinstellungen ist gut. :daumenhoc

Ich behalte das Thema in meinen Abos. Melde dich einfach wieder hier.

Garfield2704 28.02.2013 22:10
Hallo Leo,
ich bin es wieder :crazy:

habe Vista neu aufgesetzt. Beim Hochfahren kam gleich eine Fehlermeldung:

Windows-Hostprozess (Rundll32) funktioniert nicht mehr.

Damit kann ich leider nichts anfangen.
Ist das eine wichtige Datei, ohne die nichts läuft?

Viele Grüße
Garfield2704

aharonov 28.02.2013 22:17
Hallo,

ja diese Datei gehört zum System.
Kann grad auch noch nicht sagen, warum diese Fehlermeldung kommt.
Mach doch jetzt grad zuerst alle Windows Updates und schau dann, ob es immer noch auftritt danach.

  • Gehe bitte zu Start --> Alle Programme --> Windows Update.
  • Klicke dann links auf Nach Updates suchen und warte, bis die Suche beendet ist.
  • Drücke dann auf Updates installieren.
  • Starte nach Beendigung der Installation den Rechner neu auf.
  • Wiederhole diese Schritte, bis keine neuen Updates mehr verfügbar sind.

Garfield2704 03.03.2013 21:47
Hallo Leo,
ich bin es wieder.
Ich dachte, ich bin bald am Ziel,aber seit ein paar Stunden sieht es nicht mehr gut aus:

Diese Fehlermeldung (Windows-Hostprozess (Rundll32) funktioniert nicht mehr) ging nicht weg. Auch nicht nach den vielen Updates , die zum Installieren viele Stunden gebraucht haben.
Noch mehr nervten die vielen Anwendeungen, die Aldi (es ist ein Medion Computer) mit draufgepackt hat. Ein Programm ershien auch nach dem Deinstallieren immer wieder, das war Bullgard. Ich habe dann beschlossen, das System nochmal aufzuspielen.
Leider bootet der Computer nicht mehr, es koomt nun auf dem schwarzen Bildschirm: Missing operatingsystem. Auch ein nochmaliges Aufsetzen brachte keinen Erfolg, gleiche meldung wieder.
Der Rechner wird gebootet von CD (Recovery-CD Vista), alle notwendigen Daten werden eingelesen (über eine Symantec-Oberfläche zu verfolgen). Beim Neustart kommt dann die Wahl zwischen Starten von CD oder Festplatte. Beim Start von letzterer erscheint dann "Missing operating system".
Was kann ich nun tun?

Herzliche Grüße
Garfield2704

aharonov 04.03.2013 02:06
Hallo,

ich hoffe, dass du etwas nicht ganz richtig gemacht hast, denn wenn das Betriebssystem nicht gefunden werden kann nach einer sauberen Zurücksetzung auf Werkseinstellung per Recovery-CD, dann ist das nicht so gut..
(Die Festplatte wird aber im BIOS noch korrekt erkannt?)

Kannst du mir bitte schildern, wie du das Zurücksetzen mit der Recovery-CD genau machst?
Du bootest also den Rechner von dieser CD.
Sag mir dann stichwortartig, was für Optionen dir Schritt für Schritt auf dem Bildschirm angeboten werden und welche du jeweils wählst und was dann passiert.

Garfield2704 04.03.2013 09:49
Hallo Leo,
das Neuaufspielen hat ca. dreimal geklappt, nachdem ich SP1 aufgespielt und die Partition formatiert hatte, fuhr, der PC nicht mehr hoch und diese Fehlermeldung kam. Die Festplatte wird noch angezeigt. Bevor nichts mehr ging, konnte ich Einblick nehmen in die Partitionen. Auf Z: (hieß Recovery) waren bestimmt alle Daten abgelegt, die man zum "Wiederbeleben" braucht. Ich hoffe nicht, dass die in Mitleidenschaft gezogen worden sind. Formatiert habe ich D:, auf C: war Windows abgelegt.


Viele Grüße
Garfield2704
Garfield2704

aharonov 04.03.2013 23:41
Hallo,

nicht ganz einfach, aus der Ferne zu sagen, was da los ist.
Also wenn du jetzt eine Recovery von der CD machst, dann läuft alles normal durch wie bei den erfolgreichen Versuchen, aber wenn du danach normal starten willst, kommt die Meldung mit missing operating system?

Bei einer Zurücksetzung auf Werkseinstellungen sollte eigentlich alles neu geschrieben werden.. Kannst du mir nicht schnell angeben, welche Optionen du bei diesem Recovery-Prozess auswählst und welche sonst noch vorhanden wären?

Garfield2704 05.03.2013 00:22
Hallo Leo,

bei der Recovery CD (von Medion) gibt es nur eine Möglichkeit, das System neu aufzuspielen: mit Löschung aller Daten auf der Festplatte. Man kann also leider nicht, wie bei einer Vollversion von Vista, das System reparieren.

Wenn man dann fortfährt, werden die Daten eingelesen (dauert einige Minuten), dann sollte der Rechner booten, das passiert leider nicht, sondern die Meslung erscheint: Missing operating system. Somit bleibt der Bildschirm also schwarz und nichts geht mehr.

Macht es Sinn, dass ich eine "Vollversion" eines Betriebssystems kaufe (evtl. Windows 7), welches man dann von CD startet??

Viele Grüße
Garfield2704

aharonov 06.03.2013 02:18
Hallo,

Zitat:
Macht es Sinn, dass ich eine "Vollversion" eines Betriebssystems kaufe (evtl. Windows 7)
Möglicherweise. Aber wir sollten unbedingt zuerst noch die anderen möglichen Gründe ausschliessen, bevor du zusätzlich Geld ausgibst und es gar nichts bringt.

Zuerst eine Frage zur Klärung:
Zitat:
Ein Programm ershien auch nach dem Deinstallieren immer wieder, das war Bullgard. Ich habe dann beschlossen, das System nochmal aufzuspielen.
Leider bootet der Computer nicht mehr
....
nachdem ich SP1 aufgespielt und die Partition formatiert hatte, fuhr, der PC nicht mehr hoch und diese Fehlermeldung kam.
Wann ist diese Meldung "missing operating system" also genau das erste Mal erschienen? Direkt nachdem du eine Partition formatiert hast und das nächste Mal neu aufstarten wolltest? Oder lag zwischen dem Formatieren und dem ersten Auftauchen dieses Fehlers nochmals ein Neuaufsetzen über die Recovery-CD?

Garfield2704 06.03.2013 09:24
Hallo Leo,

die Fehlermeldung kam nach dem Formatieren der Partition. Danach habe ich noch einmal von CD gebootet und den Recoverymodus gestartet- da wird alles noch einmal eingelesen. Es ging dann aber auch nicht und die gleiche Meldung " Missing operating system" kam erneut.

Viele Grüße
Garfield2704

aharonov 06.03.2013 18:44
Hallo,

dann müssen wir nochmals von ausserhalb mit Parted Magic schauen, was da vermurkst wurde.
(Wenn deine bestehende Parted Magic CD nicht mehr funktioniert, dann brenn eine neue.)

  • Erstelle dir eine bootbare CD oder einen bootbaren USB-Stick mit Parted Magic und boote dann davon (Anleitung).
  • Öffne in Parted Magic eine Konsole (Bildschirmsymbol ROXTerm unten links in der Taskleiste).
  • Gib folgenden Befehl ein und bestätige mit Enter:
    fdisk -l
  • Kopiere den gesamten Output (markieren -> Rechtsklick -> Edit -> Copy), so dass du ihn hier posten kannst (entweder direkt über den integrierten Firefox, oder in ein File auf einem USB-Stick kopieren und über einen Zweitrechner hier einfügen).
  • Öffne dann erneut eine Konsole und gib folgenden Befehl ein:
    dd if=/dev/sda of=mbr.bin bs=512 count=1
  • Starte dann den File Manager (Symbol oben links auf dem Desktop) und suche die mbr.bin im root-Verzeichnis.
  • Zippe dieses File dann (Rechtsklick -> New -> Archive; Archive Format: .zip) und hänge es hier an.

Garfield2704 06.03.2013 21:51
Hallo Leo,
den bootfähigen Stick habe ich hinbekommen.
Aber leider bootet der Rechner damit nicht. Es kommt die gleiche Fehlermeldung wie gehabt: Missing operating system.
Ich habe nochmals kontrolliert, der USB Stick steht als erste Boot Möglichkeit.

Was machen wir nun???

Viele Grüße
Garfield2704

aharonov 07.03.2013 01:03
Hallo,

wenn da wieder missing operating system stand, dann wurde der Rechner nicht vom USB-Stick gebootet. (Wenn der Stick in der Bootreihenfolge an erster Stelle aufgeführt ist, dann hat das einfach irgendwie nicht geklappt und die zweite Option, also die Festplatte, wurde versucht.)

Du hattest ja schon mal mit Parted Magic booten können:
Zitat:
habe nach Anleitung das Programm CDBurnerXP genommen.
Da war es dann kein Problem.
Habe den Computer mit dem Partedmagic gebootet, hat auch geklappt.
Kannst du das bitte noch einmal genau so versuchen wie damals (wenn nötig auch eine neue CD brennen)? Sonst werden dann die Optionen langsam knapp..

Garfield2704 07.03.2013 18:58
Hallo Leo,

mein Netbook hat kein CD Laufwerk, daher wollte ich per USB booten. Mir ist dann noch der PC meiner Tochter eingefallen. Dort habe ich dann die Parted Magic CD brennen können.
Das Programm ist nun auch auf meinem Rechner getartet, allerdings habe ich mit der Eingabe Probleme.

fdisk -l

Wenn ich den Querstrich eingebe, erscheint dann ein /.
Ist das nachfolgende Zeichen ein senkrechter Strich??? Das habe ich bei meiner großen Tastatur nicht. Ehe ich etwas verkehrt mache, frage ich lieber hier noch mal nach.

Viele Grüße
Garfield2704

aharonov 07.03.2013 21:01
Hallo,

Zitat:
Wenn ich den Querstrich eingebe, erscheint dann ein /.
Das liegt daran, dass eine englische Tastatur voreingestellt ist. Auf dem Desktop von Parted Magic gibt es ein Symbol "Keyboard Layout". Öffne das, wähle dann ein deutsches Layout (z.B. "de:qwetz") und bestätige es. Danach sollte deine Tastatureingabe mit der Anzeige übereinstimmen.

Zitat:
Ist das nachfolgende Zeichen ein senkrechter Strich???
Nein, das ist ein kleines L.

Garfield2704 07.03.2013 21:41
Hallo Leo,
ich glaube, ich bin zu doof. Irgendwie komme mit dieser Oberfläche nicht so zurecht. Der Befehl hat geklappt, es wurde auch etwas geschrieben, was ich kopiert habe. Ich hätte es auch gerne auf meinen Stick verewigt, weiß aber nicht wie ich es dort in eine docx -Datei einfügen soll. Wenn ich die Datei anklicke, öffnet sich ein Fenster. Was ich damit anfangen soll, weiß ich allerdings nicht.
Hast du einen Rat oder Kniff für mich???

Viele Grüße
Garfield2704

aharonov 07.03.2013 23:02
Hallo,

Zitat:
weiß aber nicht wie ich es dort in eine docx -Datei einfügen soll.
Parted Magic ist eine Linux-Umgebung, die kann mit Microsoft Office Dokumenten nicht viel anfangen. ;)
Bring stattdessen eine ganz normale Textdatei (Dateiendung *.txt, erstellbar z.B. mit dem Editor Notepad) auf den USB-Stick, öffne diese dann in Parted Magic und kopiere den Output des Befehls dort hinein.

Garfield2704 07.03.2013 23:24
Hallo Leo,
vielen Dank für den Hinweis - man lernt nie aus.

Hier nun eine Datei.
HTML-Code:
Disk /dev/sda: 500.1 GB, 500107862016 bytes
255 heads, 63 sectors/track, 60801 cylinders, total 976773168 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

  Device Boot      Start        End      Blocks  Id  System
/dev/sda1              63  495571071  247785504+  7  HPFS/NTFS/exFAT
/dev/sda2  *  495572992  934819839  219623424    7  HPFS/NTFS/exFAT
/dev/sda3      934822350  976768064    20972857+  f  W95 Ext'd (LBA)
/dev/sda5      934822413  976768064    20972826    b  W95 FAT32

Disk /dev/sdb: 4004 MB, 4004511744 bytes
116 heads, 51 sectors/track, 1322 cylinders, total 7821312 sectors
Units = sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disk identifier: 0x00000000

  Device Boot      Start        End      Blocks  Id  System
/dev/sdb1  *          32    7821311    3910640    b  W95 FAT32
root@partedmagic:~#
Mit der anderen kämpfe ich noch (dass sie auf den Stick kommt).

Viele Grüße
Garfield2704

Garfield2704 07.03.2013 23:31
Hier die zweite Datei als Anhang, gezippt.

aharonov 07.03.2013 23:50
Ok, gut gemacht. :daumenhoc
Ich melde mich dann morgen wieder mit den weiteren Schritten.
Gute Nacht. :)

Garfield2704 08.03.2013 00:28
Ja, vielen Dank bis hierhin und Gute Nacht .

Viele Grüße
Garfield2704

aharonov 08.03.2013 19:20
Hallo,

dann versuchen wir mal was:

Boote den Rechner bitte wieder mit der Parted Magic CD.
  • Auf dem Desktop findest du ein Symbol Partition Editor. Öffne dieses.
  • Mache einen Rechtsklick auf den Eintrag /dev/sda1.
  • Wähle dort den Punkt Manage Flags.
  • Setze dann einen Haken bei der Option boot und drücke dann Close.
Starte danach den Rechner neu auf und versuche wieder normal nach Windows zu starten. Was geschieht dann?

Garfield2704 08.03.2013 20:03
Hallo Leo,

habe alles so gemacht,
der Computer hat gebootet. :taenzer:
Es erscheint ein Fenster mit "Windows" einrichten (Einstellen von Land, Zeit, Tastaturlayout.
Kann ich da jetzt weitermachen?

Viele Grüße
Garfield2704

aharonov 08.03.2013 20:24
Hallo,

ja, versuch normal weiterzumachen mit diesem Einrichten von Windows und teil mir dann bitte mit, ob alles klappt oder nicht. :)

Garfield2704 09.03.2013 22:39
Hallo Leo,
kurz mal ein Lagebericht:

SP 1 und SP 2 sind aufgespielt, die Windows Updates sind installiert.
Die Fehlermeldung kommt noch immer:

Windows-Hostprozess (Rundll32) funktioniert nicht mehr
Nach dem Starten muss ich erst ein Fenster schließen, damit die Meldung verschwindet.

Kann ich jetzt doch die restlichen Dinge aufspielen?? Oder ist das eine Fehlermeldung mit Folgen ....

Viele Grüße
Garfield2704

aharonov 09.03.2013 22:46
Hallo,

warte mal noch mit dem Aufspielen der restlichen Dinge und mach zuerst einen OTL-Scan, damit mal zu sehen ist, wie das aussieht:



Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.
  • Doppelklick auf die OTL.exe.
  • Unter Extra Registry, wähle bitte Use SafeList.
  • Setze den Haken bei Scan all Users.
  • Klicke nun auf Run Scan.
  • Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
  • Poste den Inhalt dieser Logfiles hier in den Thread.

Garfield2704 09.03.2013 23:27
Hallo Leo,
die Dateien sind zu umfangreich zum Posten, ich habe sie gezippt. (musste erst 7zip runterladen dazu)

Viele Grüße
Garfield2704

aharonov 10.03.2013 00:24
Hallo,

Zitat:
Description = Fehlerhafte Anwendung rundll32.exe, Version 6.0.6000.16386, Zeitstempel
0x4549b0e1, fehlerhaftes Modul nvapi.dll, Version 7.15.11.6926, Zeitstempel 0x4761c21b,
Da haben wir den Übeltäter. Irgendwas mit einem nvidia-Treiber scheint nicht zu passen.

Mach mal das:


Schritt 1
  • Gehe zu Start --> Systemsteuerung und öffne Programme und Funktionen.
  • Suche und deinstalliere dort der Reihe nach folgende Einträge:
    • Java(TM) 6 Update 4
    • Adobe Reader 8.1.1 - Deutsch
    • Adobe Flash Player ActiveX
  • Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.



Schritt 2
  • Lade dir die neueste Java-Version herunter.
  • Schliesse alle laufenden Programme, speziell den Browser.
  • Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
  • Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".



Schritt 3

Geh auf diese nvidia Website und drücke bei "Option 2" auf "Grafiktreiber". Aktiviere Java, falls du gefragt wirst und schau, ob du so ein Update für deine Treiber installieren kannst und ob das Problem danach immer noch besteht.

Garfield2704 10.03.2013 00:36
Hallo Leo,
Nvidia scheint doch etwas mit der Grafikkarte zu tun zu haben. Ich kann mich erinnern, dass sich diese vor einiger Zeit verabschiedet hatte (durch Überhitzung verschmort).
Ich habe gerade nochmal nachgesehen. Im Oktober 2011 habe ich sie ausgetauscht. Die neue Grafikkarte heißt SAPPHIRE HD 5450 von ATI. Dafür habe ich auch heute den Treiber aufgespielt.
Vielleicht helfen meine Angaben weiter???

Viele Grüße
Garfield2704

aharonov 10.03.2013 01:09
Hallo,

ja, dieses "fehlerhafte Modul" gehört zu einer (bei dir offenbar nicht mehr vorhandenen) nvidia Grafikkarte.
Versuch doch mal, diese alten nvidia Treiber zu deinstallieren. (Helfen kann da auch so etwas wie der Driver Cleaner).

Garfield2704 10.03.2013 14:07
Hallo Leo,
beim zweiten Anlauf mit Driver Cleaner hat es geklappt.
Beim Booten kommt keine Fehlermeldung mehr. :daumenhoc

Soll ich noch einmal einen Scan mit OTL machen???
Viele Grüße
Garfield2704

aharonov 10.03.2013 18:31
Hallo,

prima, dann sind wir ja fast fertig. :daumenhoc
Jetzt muss man das neue System noch absichern. Mach bitte noch folgenden Scan:



Downloade dir bitte SecurityCheck (Link 1, Link 2).
  • Speichere es auf dem Desktop.
  • Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.
Poste den Inhalt bitte hier.


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:13 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131