Suchanbieter werden nicht gefunden. Google yahoo und Co

klarmacker · 08.10.2011, 07:09

Hi

Ich kann soweit im Internet Surfen aber leider komme ich nicht mehr auf Google und co.

Es heist im Browser
Google gefunden warte auf antwort
nach einiger Zeit
Seite nicht gefunden.

Firefox Internet explorer immer das gleiche Spiel

Hier mal ein paar logs.
Malewarebytes hat was gefunden aber nur wenig und der Fehler ist geblieben
Combofix ebenfalls.
EScan zeigt was an will aber gekauft werden...

Besten Dank schon mal

Zitat:

OTL Extras logfile created on: 07.10.2011 18:24:42 - Run 1
OTL by OldTimer - Version 3.2.29.1 Folder = C:\Dokumente und Einstellungen\Rosenbauer\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy

1.99 Gb Total Physical Memory | 1.67 Gb Available Physical Memory | 83.67% Memory free
3.84 Gb Paging File | 3.64 Gb Available in Paging File | 94.84% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298.08 Gb Total Space | 282.25 Gb Free Space | 94.69% Space Free | Partition Type: NTFS

Computer Name: ROSENBAU-07E3F6 | User Name: Rosenbauer | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========

========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- Reg Error: Key error.
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{05BFB060-4F22-4710-B0A2-2801A1B606C5}" = Microsoft Antimalware
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{0A5825FD-0FB7-4e45-9037-858D463F2943}" = BPDSoftware
"{0F7C2E47-089E-4d23-B9F7-39BE00100776}" = Toolbox
"{1280E900-35DA-4E08-A700-B79A5B2B8532}" = Microsoft Antimalware Service DE-DE Language Pack
"{18669FF9-C8FE-407a-9F70-E674896B1DB4}" = GPBaseService
"{195F2C6C-A343-4b10-B1A4-3F00AB9E9DD9}" = Fax
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 22
"{2951A232-69BA-4925-BB9A-CEEB72B18B4F}" = BPDSoftware_Ini
"{2AAA1310-1A77-472d-A7D2-A5E55B00EF8E}" = Intel(R) Network Connections 15.5.74.0
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{36FDBE6E-6684-462b-AE98-9A39A1B200CC}" = HPProductAssistant
"{398E8625-6F3A-4C54-B54C-28F0ABB89774}" = BPD_HPSU
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{50779A29-834E-4E36-BBEB-B7CABC67A825}" = Microsoft Security Client DE-DE Language Pack
"{52A69E11-7CEB-4a7d-9607-68BA4F39A89B}" = DeviceDiscovery
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{54B6DC7D-8C5B-4DFB-BC15-C010A3326B2B}" = Microsoft Security Client
"{572F2A62-70CD-4429-8758-6D4D6DC696E1}" = 4500_Help
"{5ACE69F0-A3E8-44eb-88C1-0A841E700180}" = TrayApp
"{5BB4D7C1-52F2-4BFD-9E40-0D419E2E3021}" = bpd_scan
"{6697D99E-E550-4498-B793-4A8DD8A1821F}" = ProductContext
"{66E6CE0C-5A1E-430C-B40A-0C90FF1804A8}" = eSupportQFolder
"{679EC478-3FF9-4987-B2FF-C2C2B27532A2}" = DocProc
"{687FEF8A-8597-40b4-832C-297EA3F35817}" = BufferChm
"{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}" = HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber
"{6F5E2F4A-377D-4700-B0E3-8F7F7507EA15}" = CustomerResearchQFolder
"{80533B67-C407-485D-8B5D-63BB8ED9D878}" = Scan
"{87E2B986-07E8-477a-93DC-AF0B6758B192}" = DocProcQFolder
"{88F3DD4D-C46C-4312-84DA-603087D3F86B}" = hp officejet 4100 series
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8E5233E1-7495-44FB-8DEB-4BE906D59619}" = Junk Mail filter update
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{9867A917-5D17-40DE-83BA-BEA5293194B1}" = HP Foto- und Bildbearbeitung 2.0 - All-in-One
"{A0B9F8DF-C949-45ed-9808-7DC5C0C19C81}" = Status
"{A1F66FC9-11EE-4F2F-98C9-16F8D1E69FB7}" = Segoe UI
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A5AB9D5E-52E2-440e-A3ED-9512E253C81A}" = SolutionCenter
"{AB5D51AE-EBC3-438D-872C-705C7C2084B0}" = DeviceManagementQFolder
"{AC76BA86-7AD7-1031-7B44-A94000000001}" = Adobe Reader 9.4.6 - Deutsch
"{AC76BA86-7AD7-2447-0000-900000000003}" = Chinese Simplified Fonts Support For Adobe Reader 9
"{ADD72094-D289-4714-A62E-70574478A2BC}" = System Requirements Lab for Intel
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C4D738F7-996A-4C81-B8FA-C4E26D767E41}" = Windows Live Mail
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials
"{CCB9B81A-167F-4832-B305-D2A0430840B3}" = WebReg
"{CD0773D5-C18E-495c-B39B-21A96415EDD5}" = HP Officejet J4500 Series
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D142FE39-3386-4d82-9AD3-36D4A92AC3C2}" = DocMgr
"{D2E0F0CC-6BE0-490b-B08B-9267083E34C9}" = MarketResearch
"{D99A8E3A-AE5A-4692-8B19-6F16D454E240}" = Destination Component
"{DFFC0648-BC4B-47D1-93D2-6CA6B9457641}" = OpenOffice.org 3.2
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F1E63043-54FC-429B-AB2C-31AF9FBA4BC7}" = 32 Bit HP CIO Components Installer
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FDEC11CC-4BD6-4a8c-A398-3CCD8E43EACA}" = J4500
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HP Document Manager" = HP Document Manager 1.0
"HP Imaging Device Functions" = HP Imaging Device Functions 10.0
"HP OfficeJet 4100 Series" = HP Foto und Bildbearbeitung 2.0 - hp officejet 4100 series
"HP Solution Center & Imaging Support Tools" = HP Solution Center 10.0
"HPExtendedCapabilities" = HP Customer Participation Program 10.0
"HPOCR" = OCR Software by I.R.I.S. 10.0
"ie7" = Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes' Anti-Malware Version 1.51.2.1300
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"Microsoft Security Client" = Microsoft Security Essentials
"OPSWAT AV Libraries" = OPSWAT AntiVirus and Firewall Integration Libraries
"WinLiveSuite_Wave3" = Windows Live Essentials
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0

========== HKEY_CURRENT_USER Uninstall List ==========

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"DrKawashima" = Dr Kawashima

========== Last 10 Event Log Errors ==========

[ Application Events ]
Error - 06.10.2011 05:55:55 | Computer Name = ROSENBAU-07E3F6 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 06.10.2011 16:06:26 | Computer Name = ROSENBAU-07E3F6 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 07.10.2011 02:14:34 | Computer Name = ROSENBAU-07E3F6 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 07.10.2011 03:04:01 | Computer Name = ROSENBAU-07E3F6 | Source = MPSampleSubmission | ID = 5000
Description = EventType mptelemetry, P1 0, P2 moaccapability, P3 3.0.8402.0, P4
0, P5 0, P6 unspecified, P7 unspecified, P8 NIL, P9 NIL, P10 NIL.

Error - 07.10.2011 03:58:08 | Computer Name = ROSENBAU-07E3F6 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 07.10.2011 06:04:25 | Computer Name = ROSENBAU-07E3F6 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 07.10.2011 06:42:20 | Computer Name = ROSENBAU-07E3F6 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 07.10.2011 07:28:11 | Computer Name = ROSENBAU-07E3F6 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 07.10.2011 07:55:15 | Computer Name = ROSENBAU-07E3F6 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

Error - 07.10.2011 09:50:11 | Computer Name = ROSENBAU-07E3F6 | Source = PerfNet | ID = 2004
Description = Der Serverdienst konnte nicht geöffnet werden. Die Server-Leistungsinformationen
werden
nicht zurückgegeben. Der zurückgegebene Fehlercode befindet sich in DWORD 0.

[ System Events ]
Error - 07.10.2011 07:29:47 | Computer Name = ROSENBAU-07E3F6 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.

Error - 07.10.2011 07:44:12 | Computer Name = ROSENBAU-07E3F6 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "5575" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 07.10.2011 07:45:38 | Computer Name = ROSENBAU-07E3F6 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.

Error - 07.10.2011 07:55:24 | Computer Name = ROSENBAU-07E3F6 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "5575" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 07.10.2011 07:56:49 | Computer Name = ROSENBAU-07E3F6 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.

Error - 07.10.2011 09:50:17 | Computer Name = ROSENBAU-07E3F6 | Source = Service Control Manager | ID = 7000
Description = Der Dienst "5575" wurde aufgrund folgenden Fehlers nicht gestartet:
%%2

Error - 07.10.2011 09:51:43 | Computer Name = ROSENBAU-07E3F6 | Source = Service Control Manager | ID = 7022
Description = Der Dienst "HP CUE DeviceDiscovery Service" wurde nicht ordnungsgemäß
gestartet.

Error - 07.10.2011 12:20:29 | Computer Name = ROSENBAU-07E3F6 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "EventSystem"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {1BE1F766-5536-11D1-B726-00C04FB926AF}

Error - 07.10.2011 12:21:03 | Computer Name = ROSENBAU-07E3F6 | Source = DCOM | ID = 10005
Description = Bei DCOM ist der Fehler "%1084" aufgetreten, als der Dienst "StiSvc"
mit den Argumenten "" gestartet wurde, um den folgenden Server zu verwenden: {A1F4E726-8CF1-11D1-BF92-0060081ED811}

Error - 07.10.2011 12:21:35 | Computer Name = ROSENBAU-07E3F6 | Source = Service Control Manager | ID = 7026
Description = Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
Fips intelppm MpFilter

< End of report >

Zitat:

OTL logfile created on: 07.10.2011 18:24:42 - Run 1
OTL by OldTimer - Version 3.2.29.1 Folder = C:\Dokumente und Einstellungen\Rosenbauer\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy

1.99 Gb Total Physical Memory | 1.67 Gb Available Physical Memory | 83.67% Memory free
3.84 Gb Paging File | 3.64 Gb Available in Paging File | 94.84% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298.08 Gb Total Space | 282.25 Gb Free Space | 94.69% Space Free | Partition Type: NTFS

Computer Name: ROSENBAU-07E3F6 | User Name: Rosenbauer | Logged in as Administrator.
Boot Mode: SafeMode with Networking | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2011.10.07 18:17:44 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\OTL.exe
PRC - [2011.04.27 15:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
PRC - [2009.11.06 18:47:25 | 002,329,160 | ---- | M] (MicroWorld Technologies Inc.) -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Temp\mexe.com
PRC - [2009.11.06 18:46:44 | 000,929,800 | ---- | M] (MicroWorld Technologies Inc.) -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Temp\download.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe

========== Modules (No Company Name) ==========

MOD - [2009.02.27 18:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2007.04.02 18:19:22 | 000,355,112 | ---- | M] () -- C:\WINDOWS\system32\msjetoledb40.dll

========== Win32 Services (SafeList) ==========

SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt)
SRV - [2011.04.27 15:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)
SRV - [2007.11.06 22:16:54 | 000,217,088 | ---- | M] (Hewlett-Packard Co.) [On_Demand | Stopped] -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqcxs08.dll -- (hpqcxs08)
SRV - [2007.11.06 22:16:54 | 000,139,264 | ---- | M] (Hewlett-Packard Co.) [Auto | Stopped] -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqddsvc.dll -- (hpqddsvc)

========== Driver Services (SafeList) ==========

DRV - [2010.09.07 16:50:56 | 006,141,544 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009.11.18 04:47:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 04:46:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)

========== Standard Registry (SafeList) ==========

========== Internet Explorer ==========

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.ch/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-ch
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 48 E6 72 71 D6 84 CC 01 [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)

O1 HOSTS File: ([2011.10.07 17:59:55 | 000,000,029 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp officejet 4100 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O15 - HKCU\..Trusted Domains: who.int ([vpn] http in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: who.int ([vpn] https in Vertrauenswürdige Sites)
O16 - DPF: {2A0B9B82-D5C8-4D3D-8338-AD55B23662B1} https://vpn.who.int/vdesk/cachecleaner.cab#version=6030,2009,0514,2202 (F5 Networks CacheCleaner)
O16 - DPF: {45B69029-F3AB-4204-92DE-D5140C3E8E74} C:\DOKUME~1\ROSENB~1\LOKALE~1\Temp\IXP000.TMP\InstallerControl.cab (F5 Networks Auto Update)
O16 - DPF: {57C76689-F052-487B-A19F-855AFDDF28EE} https://vpn.who.int/vdesk/terminal/f5InspectionHost.cab#version=6030,2009,0514,2204 (F5 Networks Policy Agent Host Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.3.1.0.cab (SysInfo Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 62.2.17.61 192.168.18.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F070601E-1F3E-4B5A-A581-F2A7D4581A4D}: DhcpNameServer = 62.2.17.61 192.168.18.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.10.01 08:44:47 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O35 - HKCU\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

========== Files/Folders - Created Within 30 Days ==========

[2011.10.07 18:22:16 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2011.10.07 18:22:12 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld
[2011.10.07 18:22:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2011.10.07 18:17:51 | 000,582,656 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\OTL.exe
[2011.10.07 17:58:39 | 000,388,608 | ---- | C] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\HiJackThis204.exe
[2011.10.07 16:59:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy
[2011.10.07 16:59:11 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2011.10.07 16:59:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2011.10.07 16:56:13 | 016,409,960 | ---- | C] (Safer Networking Limited ) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\spybotsd162.exe
[2011.10.07 16:54:57 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.10.07 15:58:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2011.10.07 13:42:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2011.10.07 10:25:39 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Rosenbauer\Startmenü\Programme\Verwaltung
[2011.10.07 10:23:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2011.10.07 09:11:48 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Rosenbauer\Recent
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2011.10.07 18:25:00 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2011.10.07 18:22:26 | 000,000,028 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2011.10.07 18:22:15 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2011.10.07 18:19:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.10.07 18:17:44 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\OTL.exe
[2011.10.07 18:12:36 | 068,866,904 | ---- | M] () -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\mwav.exe
[2011.10.07 18:06:58 | 000,013,312 | ---- | M] () -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\find.bat
[2011.10.07 17:59:55 | 000,000,029 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.10.07 17:57:47 | 000,388,608 | ---- | M] (Trend Micro Inc.) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\HiJackThis204.exe
[2011.10.07 16:56:09 | 016,409,960 | ---- | M] (Safer Networking Limited ) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\spybotsd162.exe
[2011.10.07 13:58:01 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2011.10.07 10:23:47 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[2011.10.07 09:06:10 | 000,000,428 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{626D814E-576C-4790-8F9E-610B076EC5C2}.job
[2011.09.27 16:34:47 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[7 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files Created - No Company Name ==========

[2011.10.07 18:22:26 | 000,000,028 | ---- | C] () -- C:\WINDOWS\Lic.xxx
[2011.10.07 18:12:38 | 068,866,904 | ---- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\mwav.exe
[2011.10.07 18:12:32 | 000,013,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\find.bat
[2011.05.24 10:52:47 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.05.24 10:52:47 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.05.24 10:52:47 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.05.24 10:52:47 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.05.24 10:52:47 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.05.22 10:39:13 | 000,012,748 | -HS- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Anwendungsdaten\i80451yt40iko2ugi
[2011.05.22 10:39:13 | 000,012,748 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\i80451yt40iko2ugi
[2011.04.09 11:05:57 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.02 18:32:35 | 000,010,567 | R--- | C] () -- C:\WINDOWS\hpwscr19.dat
[2010.11.02 18:25:10 | 000,203,135 | ---- | C] () -- C:\WINDOWS\hpwins19.dat
[2010.11.02 18:25:10 | 000,000,997 | R--- | C] () -- C:\WINDOWS\hpwmdl19.dat
[2010.10.05 11:14:09 | 000,019,554 | ---- | C] () -- C:\WINDOWS\hpoins01.dat
[2010.10.05 11:14:09 | 000,016,606 | ---- | C] () -- C:\WINDOWS\hpomdl01.dat
[2010.10.01 09:28:23 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.10.01 09:27:07 | 000,120,544 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.10.01 09:11:04 | 001,498,560 | ---- | C] () -- C:\WINDOWS\System32\igkrng400.bin
[2010.10.01 09:05:10 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2010.10.01 08:45:48 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.10.01 08:42:08 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.05.26 19:53:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 19:53:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 19:53:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008.05.26 19:29:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008.05.26 19:29:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
[2008.04.23 15:53:37 | 000,000,079 | ---- | C] () -- C:\WINDOWS\System32\AIO-Auswahl.ini
[2008.04.14 08:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2006.12.31 07:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.02.28 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2006.02.28 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006.02.28 14:00:00 | 000,541,340 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006.02.28 14:00:00 | 000,493,190 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006.02.28 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006.02.28 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006.02.28 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006.02.28 14:00:00 | 000,110,476 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006.02.28 14:00:00 | 000,083,734 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006.02.28 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006.02.28 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006.02.28 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006.02.28 14:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2006.02.28 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.03.09 21:31:04 | 000,561,152 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll

========== LOP Check ==========

[2011.10.07 18:22:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2010.10.01 11:24:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\OpenOffice.org
[2011.08.23 15:55:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\TeamViewer
[2010.10.01 10:44:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Windows Desktop Search
[2010.10.01 11:33:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Windows Search
[2011.01.12 12:16:10 | 000,000,356 | ---- | M] () -- C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp officejet 4100 series#1286270173.job
[2011.10.07 18:25:00 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\MP Scheduled Scan.job
[2011.10.07 09:06:10 | 000,000,428 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{626D814E-576C-4790-8F9E-610B076EC5C2}.job

========== Purity Check ==========

< End of report >

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2008.03.07

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: Normal

eScan Version: 11.0.86
Sprache: German
C:\DOKUME~1\ROSENB~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027109.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027110.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027111.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027112.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027113.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027114.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027115.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027116.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027117.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027118.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027119.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027121.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027122.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP217\A0027123.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039480.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039481.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039482.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039483.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039484.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039485.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039486.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039487.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039488.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039512.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039513.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039514.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039515.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039516.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039517.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039519.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039520.exe ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
Datei C:\System Volume Information\_restore{D46AA1B4-6EDD-41BB-A096-F1DCE494CFE7}\RP276\A0039521.dll ist durch den Virus "NULL.Corrupted" infiziert! Maßnahme ergriffen: Keine Maßnahme ergriffen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Spyware (Vorsicht: Oft Fehlalarm!)
~~~~~~~~~~~
eScan-Antiviren- und Antispyware-Werkzeugsatz.
Antiviren- und Antispywaredatenbanken werden heruntergeladen...
Indexed Spyware Databases Successfully Created...
eScan-Antiviren- und Antispyware-Werkzeugsatz.
Scannen Spyware: Aktiviert
***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) geprüft *****
Indexed Spyware Databases Successfully Created...
System found infected with Backdoor (IRCBot) Trojans Spyware/Adware (HKCU\SOFTWARE\Wget)! Action taken: Keine Maßnahme ergriffen.
System found infected with Backdoor (IRCBot) Trojans Spyware/Adware (HKCU\Software\Microsoft\OLE)! Action taken: Keine Maßnahme ergriffen.
System found infected with AntiSpyware Pro XP Corrupted Adware/Spyware (HKCU\Software\Microsoft\Windows\CurrentVersion\Drivers)! Action taken: Keine Maßnahme ergriffen.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
laufende Prozesse - commandline
~~~~~~~~~~~~~~~~~~~~~~
System Idle Process -
System -
smss.exe - \SystemRoot\System32\smss.exe
csrss.exe -
winlogon.exe - winlogon.exe
services.exe - C:\WINDOWS\system32\services.exe
lsass.exe - C:\WINDOWS\system32\lsass.exe
svchost.exe - C:\WINDOWS\system32\svchost.exe -k DcomLaunch
svchost.exe -
MsMpEng.exe - "c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe"
svchost.exe - C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe -
svchost.exe -
spoolsv.exe - C:\WINDOWS\system32\spoolsv.exe
explorer.exe - C:\WINDOWS\Explorer.EXE
msseces.exe - "C:\Programme\Microsoft Security Client\msseces.exe" -hide -runkey
Skype.exe - "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
ctfmon.exe - "C:\WINDOWS\system32\ctfmon.exe"
hpqtra08.exe - "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe"
hpomau08.exe - "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe"
hpotdd01.exe - "C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe"
svchost.exe -
mscorsvw.exe - C:\WINDOWS\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
svchost.exe - C:\WINDOWS\system32\svchost.exe -k hpdevmgmt
svchost.exe - C:\WINDOWS\System32\svchost.exe -k HPZ12
svchost.exe - C:\WINDOWS\System32\svchost.exe -k HPZ12
svchost.exe - C:\WINDOWS\system32\svchost.exe -k imgsvc
searchindexer.exe - C:\WINDOWS\system32\SearchIndexer.exe /Embedding
wuauclt.exe - "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[48c]SUSDS7090ae3e9fbdb74899e0441f7fbea419
wmiprvse.exe -
cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Rosenbauer\Desktop\find.bat" "
cscript.exe - cscript C:\escan\prclst.vbs //nologo
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
ERROR!!! Invalid Entry \??\C:\DOKUME~1\ROSENB~1\LOKALE~1\Temp\5575.sys in HKLM\SYSTEM\CurrentControlSet\Services\5575. Action Taken: No Action Taken.
ERROR!!! Invalid Entry %SystemRoot%\System32\appmgmts.dll in HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\C:\DOKUME~1\ROSENB~1\LOKALE~1\Temp\catchme.sys in HKLM\SYSTEM\CurrentControlSet\Services\catchme. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\F:\Grundsoftware\Everest Ultimate Edition v.5.30.3000 Final (portable)\kerneld.wnt in HKLM\SYSTEM\CurrentControlSet\Services\EverestDriver. Action Taken: No Action Taken.
ERROR!!! Invalid Entry \??\c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{388DCAD1-3EAC-4D56-BD13-49ECBFF7D911}\MpKsl3cb01f40.sys in HKLM\SYSTEM\CurrentControlSet\Services\MpKsl3cb01f40. Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts:127.0.0.1 localhost
C:\WINDOWS\System32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Rosenbauer\Desktop\mwav.exe!!!
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Rosenbauer\Eigene Dateien\OOo_3.2.1_Win_x86_install-wJRE_de.exe!!!
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Rosenbauer\Eigene Dateien\rw2_021_w02_deu.exe!!!
Zeit überschritten beim Scannen von C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Anwendungsdaten\Identities\{8B1EE5CF-8B1D-43BE-B7DD-FB520D4E8046}\Microsoft\Outlook Express\Gesendete Objekte.dbx!!!
Zeit überschritten beim Scannen von !!!
Zeit überschritten beim Scannen von C:\WINDOWS\Driver Cache\i386\driver.cab!!!
Zeit überschritten beim Scannen von C:\WINDOWS\system32\DRVSTORE\hpoj450a_4BA3982859E56D7C820AF81F38E4FAC145F1059F\hpoj450a.cab!!!
Zeit überschritten beim Scannen von C:\WINDOWS\system32\spool\drivers\w32x86\3\hpzhl5mu.cab!!!
Zeit überschritten beim Scannen von C:\WINDOWS\system32\spool\drivers\w32x86\hpofficejet_j4500_sebabe\hpzhl5mu.cab!!!
Zahl der gescannten Objekte: 160478
Zahl der kritischen Objekte: 3
Zahl der desinfizierten Objekte: 0
Zahl der umbenannten Objekte: 0
Zahl der gelöschten Objekte: 0
Zeit verstrichen: 00:33:09
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Speicherüberprüfung: Aktiviert
Überprüfung der Registrierungsdatenbank: Aktiviert
Überprüfung des Startordners: Aktiviert
Überprüfung des Systemordners: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Laufwerke: Deaktiviert
Überprüfung aller Laufwerke:Aktiviert
Überprüfung der Ordner: Deaktiviert

Batchstart: 7:58:04.25
Batchende: 7:58:06.39

cosinus · 08.10.2011, 17:31

Zitat:

Malewarebytes hat was gefunden aber nur wenig und der Fehler ist geblieben
Combofix ebenfalls.

Log von Malwarebytes fehlt! Das von Combofix auch!

Einen ganz klaren Hinweis gibt es auch zu http://www.trojaner-board.de/95175-combofix.html

Zitat:

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

klarmacker · 11.10.2011, 10:39

Combofix ist gelöscht. qoobox ordner ebenfalls nach dem lauf von malewarebytes welcher 3 Fehler gefunden hat.

Infizierte Dateien:
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Sun\Java\deployment\cache\6.0\40\6a891368-3e0d7ff8 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\dokumente und einstellungen\rosenbauer\lokale einstellungen\anwendungsdaten\tns.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d46aa1b4-6edd-41bb-a096-f1dce494cfe7}\RP178\A0022325.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

cosinus · 11.10.2011, 13:52

Zitat:

Combofix ist gelöscht.

Was soll das?

Ich wollte darauf hinweisen, dass du CF nicht ohne Anweisung hin ausführen sollst und di fängst einfach an CF/Qoobox zu löschen! Hab ich das geschrieben?

Und das Log von Malwarebytes ist nichtmal vollständig.

klarmacker · 11.10.2011, 15:01

nein combofix habe ich nach dem malewarebytes scan gelöscht habe.
Das war am Tag befor ich dieses Thema eröffnet habe.
Nicht weil es hier geschrieben wurde...
Mein Antivirus ist auf diesen Ordner angesprungen darauf hin habe ich Ihn gelöscht.

Die log konnte ich noch wiederherstellen.

Zitat:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7891

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.10.2011 09:53:15
mbam-log-2011-10-07 (09-53-15).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 196091
Laufzeit: 43 Minute(n), 9 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 21

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Sun\Java\deployment\cache\6.0\6\64191e06-17215c5a (Trojan.Downloader.adb) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Sun\Java\deployment\cache\6.0\9\81068c9-45900bb4 (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\lokale einstellungen\Temp\0.030661641215801838.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc123.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc127.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc130.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc1683546.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc1716671.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc177.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc1796531.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc1846718.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc1891906.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc200.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc2057328.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc2260328.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc2329218.txt (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc24.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc40.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc58.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\rosenbauer\anwendungsdaten\Adobe\plugs\mmc85.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

Zitat:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Datenbank Version: 7891

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07.10.2011 14:37:44
mbam-log-2011-10-07 (14-37-44).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 195895
Laufzeit: 40 Minute(n), 19 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus · 11.10.2011, 15:12

Und das Log von Combofix ist wo? Im Nirvana?

klarmacker · 11.10.2011, 15:37

Die konnte ich mit nem tool wiederherstellen

Die langen logs hänge ich an, ich hoffe es sind die richtigen

Zitat:

2011-10-07 08:49:09 . 2011-10-07 08:49:09 173 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Toolbar-Locked.reg.dat
2011-05-24 08:56:07 . 2011-10-07 13:56:22 6,931 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2011-05-24 08:52:41 . 2011-10-07 13:53:12 204 ----a-w- C:\Qoobox\Quarantine\catchme.log
2010-10-01 07:05:11 . 2010-10-01 07:05:19 664 ----a-w- C:\Qoobox\Quarantine\C\WINDOWS\system32\d3d9caps.dat.vir

cosinus · 11.10.2011, 16:04

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

klarmacker · 11.10.2011, 16:52

sorry den hatte ich vorher schon laufen lassen aber ohne die coole anleitung

Zitat:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6528
# api_version=3.0.2
# EOSSerial=09dbfe7aaeaff94489dfbba22df33112
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2011-10-08 07:40:31
# local_time=2011-10-08 09:40:31 (+0100, Westeuropäische Sommerzeit)
# country="Switzerland"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=5891 16776533 42 87 0 14931110 0 0
# compatibility_mode=8192 67108863 100 0 87 87 0 0
# scanned=43373
# found=10
# cleaned=10
# scan_time=2993
C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\14\3c15550e-4efc6ec0 Java/Agent.AA trojan (deleted - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\32\3b578aa0-78a42bf9 a variant of Java/TrojanDownloader.OpenStream.NCM trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\78a7dab-3536a066 a variant of Java/Agent.DT trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\78a7dab-4102f0d1 a variant of Java/Agent.DT trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\78a7dab-5ae1b18d a variant of Java/Agent.DT trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\78a7dab-5f2577b2 a variant of Java/Agent.DT trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\78a7dab-627301d8 a variant of Java/Agent.DT trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\43\78a7dab-725e3dae a variant of Java/Agent.DT trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\7c18d505-47d02ac4 a variant of Java/TrojanDownloader.OpenStream.NCE trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\7c18d505-6d714bec a variant of Java/TrojanDownloader.OpenStream.NCE trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

Zitat:

aswMBR version 0.9.8.986 Copyright(c) 2011 AVAST Software
Run date: 2011-10-11 16:48:46
-----------------------------
16:48:46.500 OS Version: Windows 5.1.2600 Service Pack 3
16:48:46.500 Number of processors: 2 586 0x170A
16:48:46.500 ComputerName: ROSENBAU-07E3F6 UserName: Rosenbauer
16:48:49.218 Initialize success
16:49:21.406 AVAST engine defs: 11101101
16:49:30.093 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-16
16:49:30.093 Disk 0 Vendor: ST3320613AS SD23 Size: 305245MB BusType: 3
16:49:32.093 Disk 0 MBR read successfully
16:49:32.093 Disk 0 MBR scan
16:49:32.109 Disk 0 Windows XP default MBR code
16:49:32.109 Disk 0 scanning sectors +625121280
16:49:32.203 Disk 0 scanning C:\WINDOWS\system32\drivers
16:49:41.359 Service scanning
16:49:41.531 Service ACPI C:\WINDOWS\system32\DRIVERS\ACPI.sys **LOCKED** 32
16:49:41.562 Service MpKsl21e9e2aa c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{B38C3AED-0EC8-4D3C-9861-4F1EAB277317}\MpKsl21e9e2aa.sys **LOCKED** 32
16:49:42.109 Modules scanning
16:49:54.125 Disk 0 trace - called modules:
16:49:54.140 ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys >>UNKNOWN [0x89ddbe71]<<
16:49:54.140 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x89db8ab8]
16:49:54.140 3 CLASSPNP.SYS[ba108fd7] -> nt!IofCallDriver -> \Device\0000005f[0x89dd29e8]
16:49:54.156 5 ACPI.sys[b9f7e620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-16[0x89d7ed98]
16:49:54.890 AVAST engine scan C:\
17:41:24.703 Scan finished successfully
17:48:22.906 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Rosenbauer\Desktop\MBR.dat"
17:48:22.906 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Rosenbauer\Desktop\aswMBR.txt"

cosinus · 11.10.2011, 17:00

Ok, mach bitte ein neues OTL-CustomScan-Log:

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

klarmacker · 11.10.2011, 17:25

Danke ich hab mal was gespendet

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 11.10.2011 18:09:45 - Run 2
OTL by OldTimer - Version 3.2.29.1     Folder = C:\Dokumente und Einstellungen\Rosenbauer\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
1.99 Gb Total Physical Memory | 1.33 Gb Available Physical Memory | 66.91% Memory free
3.84 Gb Paging File | 3.35 Gb Available in Paging File | 87.28% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298.08 Gb Total Space | 281.35 Gb Free Space | 94.39% Space Free | Partition Type: NTFS
 
Computer Name: ROSENBAU-07E3F6 | User Name: Rosenbauer | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.10.11 18:07:14 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\OTL(1).exe
PRC - [2011.06.15 15:16:48 | 000,997,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2011.04.27 15:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
PRC - [2010.11.30 19:46:48 | 001,984,808 | ---- | M] (TeamViewer GmbH) -- c:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Temp\TeamViewer\Version6\TeamViewer_Desktop.exe
PRC - [2010.11.30 19:46:42 | 006,449,960 | ---- | M] (TeamViewer GmbH) -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Temp\TeamViewer\Version6\TeamViewer.exe
PRC - [2010.11.30 18:46:38 | 000,099,624 | ---- | M] (TeamViewer GmbH) -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Temp\TeamViewer\Version6\tv_w32.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.11.02 21:12:50 | 000,262,144 | ---- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqgpc01.exe
PRC - [2007.11.02 19:44:16 | 000,610,304 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqbam08.exe
PRC - [2007.11.02 19:44:16 | 000,283,992 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpofxm08.exe
PRC - [2007.10.19 21:46:08 | 000,184,320 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqste08.exe
PRC - [2003.04.09 18:11:12 | 000,028,672 | ---- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2009.02.27 18:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2008.04.14 07:52:18 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.04.27 15:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)
SRV - [2007.11.06 22:16:54 | 000,217,088 | ---- | M] (Hewlett-Packard Co.) [On_Demand | Running] -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqcxs08.dll -- (hpqcxs08)
SRV - [2007.11.06 22:16:54 | 000,139,264 | ---- | M] (Hewlett-Packard Co.) [Auto | Running] -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqddsvc.dll -- (hpqddsvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.10.11 15:56:05 | 000,028,752 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{B38C3AED-0EC8-4D3C-9861-4F1EAB277317}\MpKsl21e9e2aa.sys -- (MpKsl21e9e2aa)
DRV - [2010.09.07 16:50:56 | 006,141,544 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009.11.18 04:47:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 04:46:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Google
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Upgrade to Google Chrome
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-ch
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 48 E6 72 71 D6 84 CC 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
 
O1 HOSTS File: ([2011.10.07 17:59:55 | 000,000,029 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp officejet 4100 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 475
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 475
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O15 - HKCU\..Trusted Domains: who.int ([vpn] http in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: who.int ([vpn] https in Vertrauenswürdige Sites)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {2A0B9B82-D5C8-4D3D-8338-AD55B23662B1} https://vpn.who.int/vdesk/cachecleaner.cab#version=6030,2009,0514,2202 (F5 Networks CacheCleaner)
O16 - DPF: {45B69029-F3AB-4204-92DE-D5140C3E8E74} C:\DOKUME~1\ROSENB~1\LOKALE~1\Temp\IXP000.TMP\InstallerControl.cab (F5 Networks Auto Update)
O16 - DPF: {57C76689-F052-487B-A19F-855AFDDF28EE} https://vpn.who.int/vdesk/terminal/f5InspectionHost.cab#version=6030,2009,0514,2204 (F5 Networks Policy Agent Host Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.3.1.0.cab (SysInfo Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 62.2.17.61 192.168.18.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F070601E-1F3E-4B5A-A581-F2A7D4581A4D}: DhcpNameServer = 62.2.17.61 192.168.18.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.10.01 08:44:47 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O35 - HKCU\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.10.11 18:08:07 | 000,582,656 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\OTL(1).exe
[2011.10.11 18:00:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Adobe
[2011.10.11 17:58:46 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2011.10.11 16:30:12 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.10.11 16:06:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe
[2011.10.11 16:06:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe
[2011.10.08 08:49:13 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2011.10.07 18:27:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL
[2011.10.07 18:27:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\runouce.exe
[2011.10.07 18:27:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE
[2011.10.07 18:27:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe
[2011.10.07 18:22:16 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2011.10.07 18:22:12 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld
[2011.10.07 18:22:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2011.10.07 16:59:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy
[2011.10.07 16:59:11 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2011.10.07 16:59:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2011.10.07 16:54:57 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.10.07 15:58:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2011.10.07 13:42:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2011.10.07 10:25:39 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Rosenbauer\Startmenü\Programme\Verwaltung
[2011.10.07 10:23:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2011.10.07 09:11:48 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Rosenbauer\Recent
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.10.11 18:07:14 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\OTL(1).exe
[2011.10.11 17:41:10 | 000,000,428 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{626D814E-576C-4790-8F9E-610B076EC5C2}.job
[2011.10.11 16:32:48 | 000,053,516 | ---- | M] () -- C:\Dokumente und Einstellungen\Rosenbauer\Eigene Dateien\pinfect.zip
[2011.10.11 16:06:41 | 000,000,056 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2011.10.11 15:49:53 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2011.10.11 15:44:40 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.10.11 11:34:14 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.10.08 07:58:53 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Rosenbauer\Ÿ9Ÿ9
[2011.10.07 18:22:15 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2011.10.07 17:59:55 | 000,000,029 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.10.07 13:58:01 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2011.10.07 10:23:47 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.10.08 09:36:48 | 000,053,516 | ---- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Eigene Dateien\pinfect.zip
[2011.10.08 07:58:53 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Ÿ9Ÿ9
[2011.10.07 18:22:26 | 000,000,056 | ---- | C] () -- C:\WINDOWS\Lic.xxx
[2011.05.24 10:52:47 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.05.24 10:52:47 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.05.24 10:52:47 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.05.24 10:52:47 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.05.24 10:52:47 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.05.22 10:39:13 | 000,012,748 | -HS- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Anwendungsdaten\i80451yt40iko2ugi
[2011.05.22 10:39:13 | 000,012,748 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\i80451yt40iko2ugi
[2011.04.09 11:05:57 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.02 18:32:35 | 000,010,567 | R--- | C] () -- C:\WINDOWS\hpwscr19.dat
[2010.11.02 18:25:10 | 000,203,135 | ---- | C] () -- C:\WINDOWS\hpwins19.dat
[2010.11.02 18:25:10 | 000,000,997 | R--- | C] () -- C:\WINDOWS\hpwmdl19.dat
[2010.10.05 11:14:09 | 000,019,554 | ---- | C] () -- C:\WINDOWS\hpoins01.dat
[2010.10.05 11:14:09 | 000,016,606 | ---- | C] () -- C:\WINDOWS\hpomdl01.dat
[2010.10.01 09:28:23 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.10.01 09:27:07 | 000,120,544 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.10.01 09:11:04 | 001,498,560 | ---- | C] () -- C:\WINDOWS\System32\igkrng400.bin
[2010.10.01 09:05:10 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2010.10.01 08:45:48 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.10.01 08:42:08 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.05.26 19:53:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 19:53:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 19:53:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008.05.26 19:29:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008.05.26 19:29:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
[2008.04.23 15:53:37 | 000,000,079 | ---- | C] () -- C:\WINDOWS\System32\AIO-Auswahl.ini
[2008.04.14 08:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2006.12.31 07:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.02.28 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2006.02.28 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006.02.28 14:00:00 | 000,541,340 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006.02.28 14:00:00 | 000,493,190 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006.02.28 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006.02.28 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006.02.28 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006.02.28 14:00:00 | 000,110,476 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006.02.28 14:00:00 | 000,083,734 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006.02.28 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006.02.28 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006.02.28 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006.02.28 14:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2006.02.28 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.03.09 21:31:04 | 000,561,152 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll
 
========== LOP Check ==========
 
[2011.10.07 18:22:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2010.10.01 11:24:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\OpenOffice.org
[2011.08.23 15:55:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\TeamViewer
[2010.10.01 10:44:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Windows Desktop Search
[2010.10.01 11:33:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Windows Search
[2011.01.12 12:16:10 | 000,000,356 | ---- | M] () -- C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp officejet 4100 series#1286270173.job
[2011.10.11 15:49:53 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\MP Scheduled Scan.job
[2011.10.11 17:41:10 | 000,000,428 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{626D814E-576C-4790-8F9E-610B076EC5C2}.job
 
========== Purity Check ==========
 
 

< End of report >

--- --- ---

cosinus · 11.10.2011, 17:32

Zitat:

Danke ich hab mal was gespendet

Du hast aber leider keinen CustomScan gemacht, beachte bitte meine o.a. Anleitung nochmal und setze es auch so um.

klarmacker · 11.10.2011, 17:44

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 11.10.2011 18:40:00 - Run 3
OTL by OldTimer - Version 3.2.29.1     Folder = C:\Dokumente und Einstellungen\Rosenbauer\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000807 | Country: Schweiz | Language: DES | Date Format: dd.MM.yyyy
 
1.99 Gb Total Physical Memory | 1.33 Gb Available Physical Memory | 66.71% Memory free
3.84 Gb Paging File | 3.35 Gb Available in Paging File | 87.29% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 298.08 Gb Total Space | 281.34 Gb Free Space | 94.38% Space Free | Partition Type: NTFS
 
Computer Name: ROSENBAU-07E3F6 | User Name: Rosenbauer | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.10.11 18:07:14 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\OTL(1).exe
PRC - [2011.06.15 15:16:48 | 000,997,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2011.04.27 15:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe
PRC - [2010.11.30 19:46:48 | 001,984,808 | ---- | M] (TeamViewer GmbH) -- c:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Temp\TeamViewer\Version6\TeamViewer_Desktop.exe
PRC - [2010.11.30 19:46:42 | 006,449,960 | ---- | M] (TeamViewer GmbH) -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Temp\TeamViewer\Version6\TeamViewer.exe
PRC - [2010.11.30 18:46:38 | 000,099,624 | ---- | M] (TeamViewer GmbH) -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Temp\TeamViewer\Version6\tv_w32.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.11.02 21:12:50 | 000,262,144 | ---- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqgpc01.exe
PRC - [2007.11.02 19:44:16 | 000,610,304 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqbam08.exe
PRC - [2007.11.02 19:44:16 | 000,283,992 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpofxm08.exe
PRC - [2007.10.19 21:46:08 | 000,184,320 | ---- | M] (Hewlett-Packard Co.) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqste08.exe
PRC - [2003.04.09 18:11:12 | 000,028,672 | ---- | M] (Hewlett-Packard) -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2009.02.27 18:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2008.04.14 07:52:18 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - [2011.04.27 15:39:26 | 000,011,736 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe -- (MsMpSvc)
SRV - [2007.11.06 22:16:54 | 000,217,088 | ---- | M] (Hewlett-Packard Co.) [On_Demand | Running] -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqcxs08.dll -- (hpqcxs08)
SRV - [2007.11.06 22:16:54 | 000,139,264 | ---- | M] (Hewlett-Packard Co.) [Auto | Running] -- C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqddsvc.dll -- (hpqddsvc)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.10.11 18:38:34 | 000,028,752 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- c:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{C2445707-8986-4AF4-AF4B-A58B4C6B3BA9}\MpKsl511bdae2.sys -- (MpKsl511bdae2)
DRV - [2010.09.07 16:50:56 | 006,141,544 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2009.11.18 04:47:00 | 001,395,800 | ---- | M] (Creative Technology Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Monfilt.sys -- (Monfilt)
DRV - [2009.11.18 04:46:00 | 001,691,480 | ---- | M] (Creative) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Ambfilt.sys -- (Ambfilt)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Google
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Upgrade to Google Chrome
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-ch
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 48 E6 72 71 D6 84 CC 01  [binary data]
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\WINDOWS\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.0.60531.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
 
O1 HOSTS File: ([2011.10.07 17:59:55 | 000,000,029 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Windows Live Anmelde-Hilfsprogramm) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll (Microsoft Corporation)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hp officejet 4100 series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpomau08.exe (Hewlett-Packard Co.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe (Hewlett-Packard)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 475
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 475
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O15 - HKCU\..Trusted Domains: who.int ([vpn] http in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: who.int ([vpn] https in Vertrauenswürdige Sites)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {2A0B9B82-D5C8-4D3D-8338-AD55B23662B1} https://vpn.who.int/vdesk/cachecleaner.cab#version=6030,2009,0514,2202 (F5 Networks CacheCleaner)
O16 - DPF: {45B69029-F3AB-4204-92DE-D5140C3E8E74} C:\DOKUME~1\ROSENB~1\LOKALE~1\Temp\IXP000.TMP\InstallerControl.cab (F5 Networks Auto Update)
O16 - DPF: {57C76689-F052-487B-A19F-855AFDDF28EE} https://vpn.who.int/vdesk/terminal/f5InspectionHost.cab#version=6030,2009,0514,2204 (F5 Networks Policy Agent Host Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CAFEEFAC-0016-0000-0027-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_27-windows-i586.cab (Java Plug-in 1.6.0_27)
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.3.1.0.cab (SysInfo Class)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 62.2.17.61 192.168.18.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{F070601E-1F3E-4B5A-A581-F2A7D4581A4D}: DhcpNameServer = 62.2.17.61 192.168.18.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.10.01 08:44:47 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O35 - HKCU\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - Services: "JavaQuickStarterService"
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^Rosenbauer^Startmenü^Programme^Autostart^OpenOffice.org 3.2.lnk - C:\Programme\OpenOffice.org 3\program\quickstart.exe - ()
MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: ctfmon.exe - hkey= - key= -  File not found
MsConfig - StartUpReg: HotKeysCmds - hkey= - key= -  File not found
MsConfig - StartUpReg: HP Software Update - hkey= - key= - C:\Programme\Hewlett-Packard\HP Software Update\hpwuSchd2.exe (Hewlett-Packard)
MsConfig - StartUpReg: IgfxTray - hkey= - key= -  File not found
MsConfig - StartUpReg: Persistence - hkey= - key= -  File not found
MsConfig - StartUpReg: RTHDCPL - hkey= - key= - C:\WINDOWS\RTHDCPL.EXE (Realtek Semiconductor Corp.)
MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 2
MsConfig - State: "startup" - 2
 
SafeBootMin: AppMgmt - Service
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: MsMpSvc - c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: AppMgmt - Service
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: MsMpSvc - c:\Programme\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vga.sys - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {EF289A85-8E57-408d-BE47-73B55609861A} - RootsUpdate
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: Microsoft Base Smart Card Crypto Provider Package - 
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.10.11 18:08:07 | 000,582,656 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\OTL(1).exe
[2011.10.11 18:00:38 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\Adobe
[2011.10.11 17:58:46 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2011.10.11 16:30:12 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.10.11 16:06:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe
[2011.10.11 16:06:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe
[2011.10.08 08:49:13 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2011.10.07 18:27:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL
[2011.10.07 18:27:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\runouce.exe
[2011.10.07 18:27:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE
[2011.10.07 18:27:13 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe
[2011.10.07 18:22:16 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2011.10.07 18:22:12 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld
[2011.10.07 18:22:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2011.10.07 16:59:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Spybot - Search & Destroy
[2011.10.07 16:59:11 | 000,000,000 | ---D | C] -- C:\Programme\Spybot - Search & Destroy
[2011.10.07 16:59:11 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
[2011.10.07 16:54:57 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2011.10.07 15:58:07 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp
[2011.10.07 13:42:46 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2011.10.07 10:25:39 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Rosenbauer\Startmenü\Programme\Verwaltung
[2011.10.07 10:23:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2011.10.07 09:11:48 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Rosenbauer\Recent
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.10.11 18:07:14 | 000,582,656 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Rosenbauer\Desktop\OTL(1).exe
[2011.10.11 17:41:10 | 000,000,428 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{626D814E-576C-4790-8F9E-610B076EC5C2}.job
[2011.10.11 16:32:48 | 000,053,516 | ---- | M] () -- C:\Dokumente und Einstellungen\Rosenbauer\Eigene Dateien\pinfect.zip
[2011.10.11 16:06:41 | 000,000,056 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2011.10.11 15:49:53 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\tasks\MP Scheduled Scan.job
[2011.10.11 15:44:40 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.10.11 11:34:14 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.10.08 07:58:53 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Rosenbauer\Ÿ9Ÿ9
[2011.10.07 18:22:15 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2011.10.07 17:59:55 | 000,000,029 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2011.10.07 13:58:01 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2011.10.07 10:23:47 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Adobe Reader 9.lnk
[8 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.10.08 09:36:48 | 000,053,516 | ---- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Eigene Dateien\pinfect.zip
[2011.10.08 07:58:53 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Ÿ9Ÿ9
[2011.10.07 18:22:26 | 000,000,056 | ---- | C] () -- C:\WINDOWS\Lic.xxx
[2011.05.24 10:52:47 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2011.05.24 10:52:47 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2011.05.24 10:52:47 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2011.05.24 10:52:47 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2011.05.24 10:52:47 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2011.05.22 10:39:13 | 000,012,748 | -HS- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Anwendungsdaten\i80451yt40iko2ugi
[2011.05.22 10:39:13 | 000,012,748 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\i80451yt40iko2ugi
[2011.04.09 11:05:57 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.02 18:32:35 | 000,010,567 | R--- | C] () -- C:\WINDOWS\hpwscr19.dat
[2010.11.02 18:25:10 | 000,203,135 | ---- | C] () -- C:\WINDOWS\hpwins19.dat
[2010.11.02 18:25:10 | 000,000,997 | R--- | C] () -- C:\WINDOWS\hpwmdl19.dat
[2010.10.05 11:14:09 | 000,019,554 | ---- | C] () -- C:\WINDOWS\hpoins01.dat
[2010.10.05 11:14:09 | 000,016,606 | ---- | C] () -- C:\WINDOWS\hpomdl01.dat
[2010.10.01 09:28:23 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2010.10.01 09:27:07 | 000,120,544 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2010.10.01 09:11:04 | 001,498,560 | ---- | C] () -- C:\WINDOWS\System32\igkrng400.bin
[2010.10.01 09:05:10 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2010.10.01 08:45:48 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2010.10.01 08:42:08 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008.05.26 19:53:36 | 000,016,834 | ---- | C] () -- C:\WINDOWS\System32\gthrctr.ini
[2008.05.26 19:53:34 | 000,024,188 | ---- | C] () -- C:\WINDOWS\System32\idxcntrs.ini
[2008.05.26 19:53:32 | 000,016,568 | ---- | C] () -- C:\WINDOWS\System32\gsrvctr.ini
[2008.05.26 19:29:42 | 000,018,904 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschematrivial.bin
[2008.05.26 19:29:40 | 000,106,605 | ---- | C] () -- C:\WINDOWS\System32\structuredqueryschema.bin
[2008.04.23 15:53:37 | 000,000,079 | ---- | C] () -- C:\WINDOWS\System32\AIO-Auswahl.ini
[2008.04.14 08:06:26 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2006.12.31 07:57:08 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2006.02.28 14:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2006.02.28 14:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2006.02.28 14:00:00 | 000,541,340 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2006.02.28 14:00:00 | 000,493,190 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2006.02.28 14:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2006.02.28 14:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2006.02.28 14:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2006.02.28 14:00:00 | 000,110,476 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2006.02.28 14:00:00 | 000,083,734 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2006.02.28 14:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2006.02.28 14:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2006.02.28 14:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2006.02.28 14:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2006.02.28 14:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003.03.09 21:31:04 | 000,561,152 | ---- | C] () -- C:\WINDOWS\System32\hpotscl.dll
 
========== LOP Check ==========
 
[2011.10.07 18:22:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2010.10.01 11:24:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\OpenOffice.org
[2011.08.23 15:55:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\TeamViewer
[2010.10.01 10:44:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Windows Desktop Search
[2010.10.01 11:33:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Windows Search
[2011.01.12 12:16:10 | 000,000,356 | ---- | M] () -- C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp officejet 4100 series#1286270173.job
[2011.10.11 15:49:53 | 000,000,416 | -H-- | M] () -- C:\WINDOWS\Tasks\MP Scheduled Scan.job
[2011.10.11 17:41:10 | 000,000,428 | -H-- | M] () -- C:\WINDOWS\Tasks\User_Feed_Synchronization-{626D814E-576C-4790-8F9E-610B076EC5C2}.job
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2011.10.11 18:01:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Adobe
[2010.10.05 11:17:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Hewlett-Packard
[2010.11.02 18:42:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\HP
[2010.10.01 08:47:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Identities
[2010.10.01 09:25:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Macromedia
[2011.05.24 11:00:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Malwarebytes
[2010.10.05 11:07:43 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Microsoft
[2010.10.01 11:24:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\OpenOffice.org
[2011.10.11 18:08:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Skype
[2010.10.01 09:15:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Sun
[2011.08.23 15:55:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\TeamViewer
[2010.10.01 10:44:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Windows Desktop Search
[2010.10.01 11:33:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Windows Search
 
< %APPDATA%\*.exe /s >
[2010.10.01 09:25:45 | 002,826,192 | ---- | M] (Adobe Systems, Inc.) -- C:\Dokumente und Einstellungen\Rosenbauer\Anwendungsdaten\Macromedia\Flash Player\www.macromedia.com\bin\fpupdateax\fpupdateax.exe
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2008.04.14 08:03:54 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008.04.13 21:40:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ERDNT\cache\atapi.sys
[2008.04.13 21:40:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2008.04.14 00:10:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys
[2008.04.13 21:40:32 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\i386\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ERDNT\cache\eventlog.dll
[2008.04.14 07:52:12 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ERDNT\cache\netlogon.dll
[2008.04.14 07:52:20 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 07:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ERDNT\cache\scecli.dll
[2008.04.14 07:52:24 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ERDNT\cache\user32.dll
[2008.04.14 07:52:32 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ERDNT\cache\userinit.exe
[2008.04.14 07:53:04 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ERDNT\cache\winlogon.exe
[2008.04.14 07:53:06 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2006.02.28 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2010.10.01 10:26:29 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2010.10.01 10:26:29 | 002,568,192 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2010.10.01 10:26:28 | 000,454,656 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[8 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< End of report >

--- --- ---

so jetzt aber

cosinus · 11.10.2011, 18:21

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Hinweis: Falls Du Deinen Benutzernamen unkenntlich gemacht hast, musst Du das Ausgesternte in Deinen richtigen Benutzernamen wieder verwandeln, sonst funktioniert das Script nicht!!

Code:

ATTFilter

:OTL
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.10.01 08:44:47 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
[2011.10.08 07:58:53 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Rosenbauer\Ÿ9Ÿ9
[2011.10.07 18:22:15 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2011.10.08 09:36:48 | 000,053,516 | ---- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Eigene Dateien\pinfect.zip
[2011.05.22 10:39:13 | 000,012,748 | -HS- | C] () -- C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Anwendungsdaten\i80451yt40iko2ugi
[2011.05.22 10:39:13 | 000,012,748 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\i80451yt40iko2ugi
:Commands
[emptytemp]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

klarmacker · 12.10.2011, 09:57

Nach einem Reboot hatte ich das Log...
Google ist noch immer nicht erreichbar

Zitat:

All processes killed
========== OTL ==========
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
C:\AUTOEXEC.BAT moved successfully.
C:\Dokumente und Einstellungen\Rosenbauer\Ÿ9Ÿ9 moved successfully.
C:\WINDOWS\system32\eEmpty.exe moved successfully.
C:\Dokumente und Einstellungen\Rosenbauer\Eigene Dateien\pinfect.zip moved successfully.
C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Anwendungsdaten\i80451yt40iko2ugi moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\i80451yt40iko2ugi moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: NetworkService
->Temp folder emptied: 17854 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Rosenbauer
->Temp folder emptied: 891607818 bytes
->Temporary Internet Files folder emptied: 19221724 bytes
->Java cache emptied: 820469 bytes
->Flash cache emptied: 2827101 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 1688455 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 66003 bytes
RecycleBin emptied: 398974062 bytes

Total Files Cleaned = 1'257.00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.29.1 log created on 10122011_105055

Files\Folders moved on Reboot...
C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Temp\TeamViewer\Version6\tv_w32.dll moved successfully.
File\Folder C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Temp\~DFBD43.tmp not found!
File\Folder C:\Dokumente und Einstellungen\Rosenbauer\Lokale Einstellungen\Temp\~DFBD80.tmp not found!

Registry entries deleted on Reboot...

11.10.2011, 15:12	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Suchanbieter werden nicht gefunden. Google yahoo und Co Und das Log von Combofix ist wo? Im Nirvana? __________________ --> Suchanbieter werden nicht gefunden. Google yahoo und Co

Suchanbieter werden nicht gefunden. Google yahoo und Co

Log-Analyse und Auswertung: Suchanbieter werden nicht gefunden. Google yahoo und Co