Anwendungen können nicht intialisiert werden u.a.

wenjin · 19.11.2011, 12:44

Hallo,

bei dem Rechner meiner Freundin ergab sich gestern abend folgendes Problem.
Nachdem wir eine TV-Serie im Netz gesucht hatten und über etliche dubiose Seiten gesurft waren, hing plötzlich die Verbindung und es erschien eine Fehlermeldung a la: "Die Anwendung konnte nicht richtig initialisiert werden." Welche Datei bzw. welches Progamm das betraf, kann ich allerdings nicht mehr sagen.

Nach einem Neustart tauchte direkt nach dem Booten und ohne mein Zutun die gleiche Fehlermeldung für etliche Programme auf - avgnt.exe (Avira), Erunt.exe (Erunt), Ssupdate.exe etc. Weiterhin erschien eine Zonealarm-Meldung: "ZoneAlarm hat ein Problem festgestellt und muss beendet werden."
Programme auf dem Desktop ließen sich zwar anklicken, aber nicht mehr starten. Auch reagierte die Startleiste nicht mehr auf Mausklicks. Das Herunterfahren bzw. Neustarten musste ich mittel RESET- und POWER-Taste an der Hardware erledigen.

Schließlich hab ich den Rechner dann im abgesicherten Modus gestartet und Malwarebytes' laufen lassen. Das zeigte mir auch prompt einige Entdeckungen an (siehe unten). Wundersamerweise steht heute in dieser LOG-Datei "No action taken." Ich bin mir jedoch ziemlichsicher, dass da gestern noch stand, dass die verdächtigen Dateien in Quarantäne verschoben worden sind. Wie dem auch sei...

Jetzt kommt der Rechner zumindest wieder ins Netz und die Programme funktionieren auch. Einzig die Fehlermeldungen bzgl. Initialisierung und ZoneAlarm bleiben und Firefox stürzte einige Mal ab, als ich mir OTL, Gmer etc. herunterlud.

Weitere Schritte

Defogger. Hat alles soweit funktioniert. Allerdings kam nach Beenden kein automatischer Neustart und keine dementsprechende Meldung. Hab also den Neustart per Hand durchgeführt.
OTL. Nach dem Abschluss des Scans erschien die Fehlermeldung "Notepad.exe - Die Anwendung konnte nicht richtig initialisiert werden." Die LOG-Dateien sind trotzdem erstellt worden (OTL.txt siehe unten, Extras.txt siehe ZIP)
msinfo32. Die Eingabekonsole ließ sich zwar aufrufen, doch die Eingabe von "msinfo32" bewirkte gar nichts (kein Fensteröffnen oder sonstiges).
Gmer. Siehe ZIP.

Soweit schonmal. Für Eure Hilfe wäre ich sehr dankbar.

Viele Grüße
Wen

Zitat:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Datenbank Version: 5052

Windows 5.1.2600 Service Pack 2 (Safe Mode)
Internet Explorer 6.0.2900.2180

18.11.2011 20:41:52
mbam-log-2011-11-18 (20-41-52).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|)
Durchsuchte Objekte: 282708
Laufzeit: 1 Stunde(n), 5 Minute(n), 2 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 1
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{c689c99e-3a8c-4c87-a79c-c80dc9c81632} (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c689c99e-3a8c-4c87-a79c-c80dc9c81632} (Trojan.Banker) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\prh (Trojan.Banker) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\appconf32.exe,) Good: (userinit.exe) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\xmldm (Stolen.Data) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\AcroIEHelpe.dll (Trojan.Banker) -> No action taken.

Code:

ATTFilter

OTL logfile created on: 19.11.2011 10:58:13 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Dokumente und Einstellungen\***\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1005,91 Mb Total Physical Memory | 575,52 Mb Available Physical Memory | 57,21% Memory free
2,39 Gb Paging File | 2,02 Gb Available in Paging File | 84,41% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 97,66 Gb Total Space | 44,56 Gb Free Space | 45,63% Space Free | Partition Type: NTFS
Drive D: | 368,10 Gb Total Space | 84,38 Gb Free Space | 22,92% Space Free | Partition Type: NTFS
Drive E: | 981,55 Mb Total Space | 969,77 Mb Free Space | 98,80% Space Free | Partition Type: FAT32
Drive T: | 4,29 Gb Total Space | 0,00 Gb Free Space | 0,00% Space Free | Partition Type: CDFS
 
Computer Name: LIEBSTE | User Name: *** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2011.11.18 19:28:02 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
PRC - [2011.11.09 20:05:42 | 002,420,616 | ---- | M] (Check Point Software Technologies LTD) -- C:\Programme\CheckPoint\ZoneAlarm\vsmon.exe
PRC - [2011.11.03 15:44:28 | 000,497,280 | ---- | M] (Check Point Software Technologies) -- C:\Programme\CheckPoint\ZAForceField\ISWSVC.exe
PRC - [2011.11.03 15:44:24 | 000,738,944 | ---- | M] (Check Point Software Technologies) -- C:\Programme\CheckPoint\ZAForceField\ForceField.exe
PRC - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2009.03.02 12:08:43 | 000,209,153 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2005.05.06 22:56:57 | 000,071,168 | ---- | M] () -- C:\WINDOWS\system32\LxrJD31s.exe
PRC - [2004.08.04 00:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\userinit.exe
PRC - [2004.08.04 00:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2003.07.16 12:56:06 | 000,086,016 | ---- | M] (ICSI) -- C:\WINDOWS\Dit.exe
PRC - [2003.07.11 09:31:12 | 000,061,440 | ---- | M] (ICSI) -- C:\WINDOWS\DitExp.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2009.01.28 15:03:49 | 000,326,401 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2007.07.12 22:33:58 | 000,087,552 | ---- | M] () -- C:\WINDOWS\system32\cpwmon2k.dll
MOD - [2005.05.06 22:56:57 | 000,071,168 | ---- | M] () -- C:\WINDOWS\system32\LxrJD31s.exe
MOD - [2004.01.25 15:51:40 | 000,121,344 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Disabled | Stopped] --  -- (WUSB54Gv42SVC)
SRV - [2011.11.09 20:05:42 | 002,420,616 | ---- | M] (Check Point Software Technologies LTD) [Auto | Running] -- C:\Programme\CheckPoint\ZoneAlarm\vsmon.exe -- (vsmon)
SRV - [2011.11.03 15:44:28 | 000,497,280 | ---- | M] (Check Point Software Technologies) [Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\IswSvc.exe -- (IswSvc)
SRV - [2010.01.09 19:20:21 | 000,655,624 | ---- | M] (Acresso Software Inc.) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2009.07.21 13:34:28 | 000,185,089 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.13 15:48:18 | 000,108,289 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2005.05.06 22:56:57 | 000,071,168 | ---- | M] () [Auto | Running] -- C:\WINDOWS\System32\LxrJD31s.exe -- (LxrJD31s)
SRV - [2003.11.19 23:11:48 | 000,068,096 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
 
 
========== Driver Services (SafeList) ==========
 
DRV - [2011.11.09 20:01:38 | 000,525,840 | ---- | M] (Check Point Software Technologies LTD) [Kernel | System | Running] -- C:\WINDOWS\system32\vsdatant.sys -- (Vsdatant)
DRV - [2011.11.03 15:44:20 | 000,027,016 | ---- | M] (Check Point Software Technologies) [Kernel | Auto | Running] -- C:\Programme\CheckPoint\ZAForceField\ISWKL.sys -- (ISWKL)
DRV - [2010.02.17 10:25:50 | 000,012,872 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\sasdifsv.sys -- (SASDIFSV)
DRV - [2010.02.17 10:15:58 | 000,066,632 | ---- | M] (SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | System | Running] -- C:\Programme\SUPERAntiSpyware\SASKUTIL.SYS -- (SASKUTIL)
DRV - [2010.02.17 10:15:58 | 000,012,872 | R--- | M] ( SUPERAdBlocker.com and SUPERAntiSpyware.com) [Kernel | On_Demand | Running] -- C:\Programme\SUPERAntiSpyware\SASENUM.SYS -- (SASENUM)
DRV - [2009.12.07 15:06:16 | 000,056,816 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009.05.11 09:12:20 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.03.30 09:33:03 | 000,096,104 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2009.02.13 11:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2006.07.29 04:20:28 | 000,043,392 | R--- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HECI.sys -- (HECI) Intel(R)
DRV - [2006.07.27 07:24:28 | 001,171,464 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA)
DRV - [2005.12.02 10:38:04 | 000,041,728 | ---- | M] (Sonic Focus, Inc) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sfng32.sys -- (sfng32)
DRV - [2005.10.17 18:50:06 | 000,245,376 | ---- | M] (Ralink Technology Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rt2500usb.sys -- (WUSB54GV4SRV)
DRV - [2005.10.17 18:50:06 | 000,245,376 | ---- | M] (Ralink Technology Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\rt2500usb.sys -- (WUSB54GPV4SRV)
DRV - [2005.05.06 22:56:57 | 000,069,824 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\LxrJD31d.sys -- (LxrJD31d)
DRV - [2005.01.28 15:36:00 | 000,171,008 | ---- | M] (Pinnacle Systems GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\MarvinBus.sys -- (MarvinBus)
DRV - [2004.08.04 00:38:58 | 000,701,952 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ati2mtag.sys -- (ati2mtag)
DRV - [2004.08.03 23:08:22 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2004.05.24 11:48:52 | 000,006,192 | ---- | M] () [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\EPoXUSDM.SYS -- (EPoXUSDM)
DRV - [2004.03.10 16:27:18 | 000,011,264 | ---- | M] (Pinnacle Systems GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\asapiW2k.sys -- (ASAPIW2k)
DRV - [2004.02.01 20:06:44 | 000,034,816 | ---- | M] () [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\SSHDRV5C.sys -- (SSHDRV5C)
DRV - [2004.01.26 16:36:35 | 000,095,552 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\prohlp02.sys -- (prohlp02)
DRV - [2004.01.26 16:01:28 | 000,052,224 | ---- | M] (Protection Technology) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\prodrv06.sys -- (prodrv06)
DRV - [2003.12.01 16:20:52 | 000,004,832 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\sfhlp01.sys -- (sfhlp01)
DRV - [2003.09.06 13:22:08 | 000,006,944 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\prosync1.sys -- (prosync1)
DRV - [2003.06.23 05:48:12 | 000,005,120 | ---- | M] (IBM Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\Downloaded Program Files\egathdrv.sys -- (EGATHDRV)
DRV - [2003.05.21 11:47:12 | 000,175,360 | R--- | M] (Broadcom Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2003.05.09 18:59:16 | 000,043,539 | ---- | M] (HighPoint Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\DRIVERS\hpt3xx.sys -- (hpt3xx)
DRV - [2003.05.09 05:00:56 | 000,033,248 | R--- | M] (Sonic Focus, Inc) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\sf.sys -- (sf)
DRV - [2003.03.11 03:17:00 | 000,085,265 | R--- | M] (Silicon Image, Inc) [Kernel | Boot | Running] -- C:\WINDOWS\System32\DRIVERS\si3112r.sys -- (SI3112r)
DRV - [2003.03.11 03:17:00 | 000,009,600 | R--- | M] (Silicon Image, Inc.) [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\DRIVERS\SiWinAcc.sys -- (SiFilter)
DRV - [2003.01.27 15:12:58 | 000,009,809 | ---- | M] (HighPoint Technologies, Inc.) [Kernel | Boot | Stopped] -- C:\WINDOWS\System32\DRIVERS\hptpro.sys -- (hptpro)
DRV - [2002.03.19 10:29:16 | 000,014,165 | ---- | M] (Pinnacle Systems GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\Pclepci.sys -- (PCLEPCI)
DRV - [2001.08.17 14:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2613550
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 192.168.10.101:3128
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: dictlookup@arnhold.com:0.0.4
FF - prefs.js..extensions.enabledItems: {dc572301-7619-498c-a57d-39143191b318}:0.3.8.5
FF - prefs.js..extensions.enabledItems: {139a120b-c2ea-41d2-bf70-542d9f063dfd}:2.03.3
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {FFB96CC1-7EB3-449D-B827-DB661701C6BB}:1.5.227.0
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Programme\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Content Upload Plugin,version=1.0.0: C:\Programme\DivX\DivX Content Uploader\npUpload.dll File not found
FF - HKLM\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll (Move Networks)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2536: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.2594: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1698: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc;version=0.8.6d: C:\Programme\VLC\npvlc.dll (VideoLAN Team)
FF - HKCU\Software\MozillaPlugins\@movenetworks.com/Quantum Media Player: C:\Dokumente und Einstellungen\***\Anwendungsdaten\Move Networks\plugins\071802000001\npqmp071802000001.dll (Move Networks)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}: C:\Programme\CheckPoint\ZAForceField\TrustChecker [2011.11.13 11:44:21 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2011.11.13 09:16:45 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 8.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.05.08 13:31:54 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Components: C:\Programme\Mozilla Thunderbird\components [2011.08.19 07:02:05 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 8.0\extensions\\Plugins: C:\Programme\Mozilla Thunderbird\plugins [2010.03.16 16:32:13 | 000,000,000 | ---D | M]
 
[2010.09.13 11:30:08 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions
[2010.09.13 11:30:08 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2011.11.13 11:44:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4jfjyieg.default\extensions
[2008.10.08 19:07:49 | 000,000,000 | ---D | M] (Mouse Gestures Redox) -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4jfjyieg.default\extensions\{FFA36170-80B1-4535-B0E3-A4569E497DD0}
[2007.11.01 17:42:41 | 000,000,000 | ---D | M] ("Dictionary (EN/DE)") -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\4jfjyieg.default\extensions\dictlookup@arnhold.com
[2011.11.13 09:16:48 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\4JFJYIEG.DEFAULT\EXTENSIONS\{139A120B-C2EA-41D2-BF70-542D9F063DFD}.XPI
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\***\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\4JFJYIEG.DEFAULT\EXTENSIONS\{DC572301-7619-498C-A57D-39143191B318}.XPI
[2011.11.13 09:16:45 | 000,134,104 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2008.09.15 10:52:06 | 000,376,832 | ---- | M] ( ) -- C:\Programme\mozilla firefox\plugins\npsnapfish.dll
[2011.11.13 09:16:42 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2011.11.13 09:16:42 | 000,002,040 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\twitter.xml
 
O1 HOSTS File: ([2010.11.05 20:57:23 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (ZoneAlarm Security Engine Registrar) - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O2 - BHO: (Adobe PDF Reader Link Helper) - {C689C99E-3A8C-4c87-A79C-C80DC9C81632} - C:\WINDOWS\system32\AcroIEHelpe.dll (Adobe Systems, Incorporated)
O3 - HKLM\..\Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - No CLSID value found.
O3 - HKLM\..\Toolbar: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O3 - HKCU\..\Toolbar\WebBrowser: (ZoneAlarm Security Engine) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\Trustchecker\bin\TrustCheckerIEPlugin.dll (Check Point Software Technologies)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Dit] C:\WINDOWS\Dit.exe (ICSI)
O4 - HKLM..\Run: [ISW] C:\Programme\CheckPoint\ZAForceField\ForceField.exe (Check Point Software Technologies)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [ZoneAlarm] C:\Programme\CheckPoint\ZoneAlarm\zatray.exe (Check Point Software Technologies LTD)
O4 - HKCU..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe (SUPERAntiSpyware.com)
O4 - Startup: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\ERUNT AutoBackup.lnk = C:\Programme\ERUNT\AUTOBACK.EXE ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} https://www-307.ibm.com/pc/support/IbmEgath.cab (IBM Access Support)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} hxxp://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38012.4872685185 (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.4.0/jinstall-1_4_0-windows-i586.cab (Java Plug-in 1.4.0)
O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{1488C873-F783-4181-860C-E4E902BCA991}: DhcpNameServer = 192.168.10.101
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{16185201-ACEA-44F7-841D-98B235EA7BB9}: NameServer = 212.68.75.11
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{7A4A6A7B-E238-43AB-B21E-7ED16D0B4D33}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{A5D29D33-D81C-4BDC-975B-D33159F32F87}: NameServer = 212.68.75.11,212.68.88.11
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C03273B8-FB4C-4FF0-86F5-C22A47743F2A}: NameServer = 212.68.75.11,212.68.88.11
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\appconf32.exe) -C:\WINDOWS\system32\appconf32.exe ()
O20 - Winlogon\Notify\!SASWinLogon: DllName - (C:\Programme\SUPERAntiSpyware\SASWINLO.dll) - C:\Programme\SUPERAntiSpyware\SASWINLO.dll (SUPERAntiSpyware.com)
O20 - Winlogon\Notify\igfxcui: DllName - (igfxsrvc.dll) - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Programme\SUPERAntiSpyware\SASSEH.DLL (SuperAdBlocker.com)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.01.26 20:11:42 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {057997dd-71e4-43cc-b161-3f8180691a9e} - Q824145
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Microsoft VM
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608555} - Internet Explorer Classes for Java
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {166B1BCA-3F9C-11CF-8075-444553540000} - Macromedia Shockwave Director 10.0
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A202491-F00D-11cf-87CC-0020AFEECF20} - Macromedia Shockwave Director 10.0
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {2cc9d512-6db6-4f1c-8979-9a41fae88de0} - Q837009
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015C} - Microsoft DirectX
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5f3c70b3-ac2f-432c-8f9c-1624df61f54f} - Microsoft Data Access Components KB870669
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {795d0712-722c-43ec-906a-fc5e678eada9} - Q831167
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {D67E5754-EBBB-43E6-9A47-C700CAED7404} - Vektorgrafik-Rendering (VML)
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {eddbec60-89cb-44ef-8291-0850fd28ff6a} - Q832894
ActiveX: {f5173cf0-1dfb-4978-8e50-a90169ee7ca9} - Q823353
ActiveX: {F5776D81-AE53-4935-8E84-B0B283D8BCEF} - Q330994
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: AutorunsDisabled - 
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - Services: "SCardDrv"
MsConfig - Services: "WUSB54Gv4SVC"
MsConfig - Services: "WUSB54Gv42SVC"
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe - (Adobe Systems, Inc.)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk -  - File not found
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe - (InterVideo Inc.)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE - (Microsoft Corporation)
MsConfig - StartUpReg: IntelAudioStudio - hkey= - key= - C:\Programme\Intel Audio Studio\IntelAudioStudio.exe (Intel Corporation)
MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= -  File not found
MsConfig - StartUpReg: PinnacleDriverCheck - hkey= - key= -  File not found
MsConfig - StartUpReg: QuickTime Task - hkey= - key= - C:\Programme\QuickTime\qttask.exe (Apple Computer, Inc.)
MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
MsConfig - StartUpReg: TkBellExe - hkey= - key= - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
MsConfig - StartUpReg: WUSB54Gv4 - hkey= - key= - C:\Programme\Linksys Wireless-G USB Wireless Network Monitor\InvokeSvc3.exe ()
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 2
MsConfig - State: "startup" - 2
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2011.11.19 10:53:54 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2011.11.19 10:48:10 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\***\Recent
[2011.11.18 20:58:04 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2011.11.18 20:57:21 | 000,000,000 | ---D | C] -- C:\Qoobox
[2011.11.18 20:57:09 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\xmldm
[2011.11.18 20:57:05 | 000,000,000 | ---D | C] -- C:\32788R22FWJFW
[2011.11.18 18:13:42 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\kock
[2011.11.13 11:44:54 | 000,000,000 | ---D | C] -- C:\WINDOWS\Internet Logs
[2011.11.13 10:07:51 | 000,000,000 | ---D | C] -- C:\Programme\Conduit
[2011.11.13 10:07:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\temp
[2011.11.13 10:07:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Check Point
[2011.11.13 10:07:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CheckPoint
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2011.11.19 10:55:17 | 000,000,090 | ---- | M] () -- C:\WINDOWS\System32\blckdom.res
[2011.11.19 10:51:01 | 000,062,925 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2011.11.19 10:49:57 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2011.11.19 10:36:39 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\***\Desktop\Defogger.exe
[2011.11.19 10:33:16 | 000,316,924 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2011.11.19 10:33:16 | 000,311,740 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2011.11.19 10:33:16 | 000,048,354 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2011.11.19 10:33:16 | 000,040,128 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2011.11.18 20:56:11 | 002,122,072 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2011.11.18 20:43:14 | 000,054,016 | ---- | M] () -- C:\WINDOWS\System32\drivers\sqsrf.sys
[2011.11.18 19:28:02 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\***\Desktop\OTL.exe
[2011.11.18 18:40:44 | 000,000,155 | ---- | M] () -- C:\WINDOWS\winamp.ini
[2011.11.17 13:16:47 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2011.11.13 11:45:03 | 000,415,915 | ---- | M] () -- C:\WINDOWS\System32\vsconfig.xml
[2011.10.22 12:43:10 | 000,054,156 | -H-- | M] () -- C:\WINDOWS\QTFont.qfn
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2011.11.19 10:37:19 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Desktop\Defogger.exe
[2011.11.18 20:43:14 | 000,054,016 | ---- | C] () -- C:\WINDOWS\System32\drivers\sqsrf.sys
[2011.11.18 18:13:49 | 000,000,090 | ---- | C] () -- C:\WINDOWS\System32\blckdom.res
[2011.11.13 11:44:43 | 000,415,915 | ---- | C] () -- C:\WINDOWS\System32\vsconfig.xml
[2011.09.19 19:41:27 | 000,000,584 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\1180648259.exe
[2011.09.19 19:40:27 | 000,000,584 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\975639139.exe
[2010.07.17 08:40:37 | 000,000,431 | ---- | C] () -- C:\WINDOWS\IfoEdit.INI
[2009.09.19 09:52:03 | 000,008,704 | ---- | C] () -- C:\WINDOWS\System32\CNMVS79.DLL
[2009.02.17 20:43:11 | 000,000,085 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2008.12.09 16:23:13 | 000,054,048 | RHS- | C] () -- C:\WINDOWS\System32\appconf32.exe
[2007.12.11 12:20:20 | 000,087,552 | ---- | C] () -- C:\WINDOWS\System32\cpwmon2k.dll
[2007.04.28 13:57:19 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2007.01.02 15:28:46 | 000,045,056 | ---- | C] () -- C:\WINDOWS\System32\lexazdll32.dll
[2006.12.31 08:41:28 | 000,016,384 | ---- | C] () -- C:\WINDOWS\System32\FileOps.exe
[2006.12.16 09:31:29 | 023,663,088 | ---- | C] () -- C:\Programme\Mein_CEWE_FOTOBUCH.exe
[2006.04.29 19:43:02 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2006.04.29 19:42:01 | 000,004,959 | ---- | C] () -- C:\WINDOWS\mozver.dat
[2006.03.09 08:29:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2006.03.09 08:29:00 | 001,519,616 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2006.03.09 08:29:00 | 001,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2006.03.09 08:29:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2006.03.09 08:29:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2006.03.09 08:29:00 | 000,573,440 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll
[2006.03.09 08:29:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2006.03.09 08:29:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2006.03.09 08:29:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2006.03.09 08:29:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2006.03.09 08:29:00 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll
[2006.02.14 23:27:17 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2005.11.28 15:36:26 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2005.07.23 01:29:15 | 000,000,155 | ---- | C] () -- C:\WINDOWS\winamp.ini
[2005.07.13 13:49:44 | 000,001,668 | ---- | C] () -- C:\WINDOWS\System32\WLAN.INI
[2005.07.13 13:35:50 | 000,094,208 | ---- | C] () -- C:\WINDOWS\System32\GTW32N50.dll
[2005.05.06 22:57:01 | 000,000,000 | ---- | C] () -- C:\WINDOWS\JDSecure31.INI
[2005.05.06 22:56:57 | 000,249,856 | ---- | C] () -- C:\WINDOWS\System32\LxrJD31.dll
[2005.05.06 22:56:57 | 000,163,840 | ---- | C] () -- C:\WINDOWS\System32\LxrJD31c.exe
[2005.05.06 22:56:57 | 000,071,168 | ---- | C] () -- C:\WINDOWS\System32\LxrJD31s.exe
[2005.05.06 22:56:57 | 000,069,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\LxrJD31d.sys
[2005.05.06 22:56:57 | 000,061,440 | ---- | C] () -- C:\WINDOWS\System32\LxrJD20Sat.dll
[2005.05.06 22:48:34 | 000,000,000 | ---- | C] () -- C:\WINDOWS\JDSecure20.INI
[2005.04.26 11:37:50 | 000,003,399 | ---- | C] () -- C:\WINDOWS\System32\hptcpmon.ini
[2005.04.26 11:37:25 | 000,000,092 | ---- | C] () -- C:\WINDOWS\TraceSrv.ini
[2005.04.26 11:37:12 | 000,458,752 | ---- | C] () -- C:\WINDOWS\tls704d.dll
[2005.04.26 11:37:12 | 000,032,768 | ---- | C] () -- C:\WINDOWS\uninstallrq.exe
[2005.03.23 19:42:05 | 000,000,428 | ---- | C] () -- C:\WINDOWS\System32\xscan32.dat
[2005.02.05 17:28:43 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004.12.20 20:19:23 | 000,000,017 | ---- | C] () -- C:\WINDOWS\MovingPicture.ini
[2004.12.20 19:44:23 | 000,406,016 | ---- | C] () -- C:\WINDOWS\System32\PSDrvCheck.exe
[2004.12.20 19:42:34 | 000,000,063 | ---- | C] () -- C:\WINDOWS\PixieTool.INI
[2004.12.08 12:46:54 | 000,082,186 | ---- | C] () -- C:\WINDOWS\CSTBox.INI
[2004.10.21 13:51:29 | 000,000,236 | ---- | C] () -- C:\WINDOWS\Dit.INI
[2004.09.25 19:10:19 | 000,012,288 | R--- | C] () -- C:\WINDOWS\System32\e100bmsg.dll
[2004.09.16 21:24:26 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2004.09.11 19:04:18 | 000,006,656 | ---- | C] () -- C:\WINDOWS\System32\CNMVS5m.DLL
[2004.08.02 14:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004.07.14 19:55:38 | 000,006,192 | ---- | C] () -- C:\WINDOWS\System32\drivers\EPoXUSDM.SYS
[2004.05.31 21:05:27 | 000,002,177 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP WMA V9 Codec.dat
[2004.05.31 20:56:50 | 000,167,424 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall.exe
[2004.05.31 20:56:50 | 000,017,867 | ---- | C] () -- C:\WINDOWS\System32\SpoonUninstall-dBpowerAMP Music Converter.dat
[2004.05.04 19:54:35 | 000,000,000 | ---- | C] () -- C:\WINDOWS\OpPrintServer.INI
[2004.05.04 19:30:31 | 000,010,240 | ---- | C] () -- C:\WINDOWS\System32\vidx16.dll
[2004.03.18 08:44:29 | 001,663,068 | ---- | C] () -- C:\WINDOWS\System32\libmmd.dll
[2004.03.16 16:48:29 | 000,000,021 | ---- | C] () -- C:\Programme\AVPersonalAVWIN.INI
[2004.02.24 21:45:34 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.dll
[2004.02.24 21:45:28 | 000,397,312 | ---- | C] () -- C:\WINDOWS\System32\ati2evxx.exe
[2004.02.04 20:05:15 | 000,245,760 | ---- | C] () -- C:\WINDOWS\System32\pscp.exe
[2004.02.04 20:05:05 | 000,356,352 | ---- | C] () -- C:\WINDOWS\System32\putty.exe
[2004.02.01 20:07:08 | 000,000,089 | ---- | C] () -- C:\WINDOWS\ULead32.ini
[2004.02.01 20:06:44 | 000,034,816 | ---- | C] () -- C:\WINDOWS\System32\drivers\SSHDRV5C.sys
[2004.02.01 19:59:05 | 000,196,096 | ---- | C] () -- C:\WINDOWS\System32\macd32.dll
[2004.02.01 19:59:05 | 000,138,752 | ---- | C] () -- C:\WINDOWS\System32\mase32.dll
[2004.02.01 19:59:05 | 000,136,192 | ---- | C] () -- C:\WINDOWS\System32\mamc32.dll
[2004.02.01 19:59:05 | 000,057,856 | ---- | C] () -- C:\WINDOWS\System32\masd32.dll
[2004.02.01 19:59:05 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\ma32.dll
[2004.02.01 19:58:11 | 000,194,248 | ---- | C] () -- C:\WINDOWS\System32\LTRFD13n.DLL
[2004.01.26 22:42:51 | 000,000,663 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2004.01.26 22:22:20 | 000,169,472 | ---- | C] () -- C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2004.01.26 20:49:20 | 000,006,550 | ---- | C] () -- C:\WINDOWS\jautoexp.dat
[2004.01.26 20:39:02 | 000,516,096 | ---- | C] () -- C:\WINDOWS\System32\ati2sgag.exe
[2004.01.26 20:36:37 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2004.01.26 20:25:31 | 000,000,092 | ---- | C] () -- C:\WINDOWS\CMISETUP.INI
[2004.01.26 20:25:31 | 000,000,026 | ---- | C] () -- C:\WINDOWS\CMCDPLAY.INI
[2004.01.26 20:25:30 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Wininit.ini
[2004.01.26 20:25:29 | 001,900,544 | ---- | C] () -- C:\WINDOWS\System32\cmiwcnfg.dll
[2004.01.26 20:25:23 | 000,258,048 | ---- | C] () -- C:\WINDOWS\CMIUninstall.exe
[2004.01.26 20:25:23 | 000,212,992 | ---- | C] () -- C:\WINDOWS\CmiRmRedundDir.exe
[2004.01.26 20:25:23 | 000,028,672 | ---- | C] () -- C:\WINDOWS\CMIRmDriver.dll
[2004.01.26 20:13:17 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2004.01.26 20:09:38 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2004.01.26 20:03:54 | 000,004,346 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2004.01.26 20:03:09 | 002,122,072 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2003.12.15 19:12:48 | 000,128,000 | ---- | C] () -- C:\WINDOWS\System32\3dviewer.dll
[2003.08.20 17:46:52 | 000,233,472 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.exe
[2003.02.18 17:26:28 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\cmirmdrv.dll
[2002.08.29 02:54:14 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2002.03.25 19:02:14 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2001.08.31 23:15:44 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2001.08.31 23:15:44 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2001.08.18 20:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2001.08.18 20:00:00 | 000,316,924 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2001.08.18 20:00:00 | 000,311,740 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2001.08.18 20:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2001.08.18 20:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2001.08.18 20:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2001.08.18 20:00:00 | 000,048,354 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2001.08.18 20:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2001.08.18 20:00:00 | 000,040,128 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2001.08.18 20:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2001.08.18 20:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2001.08.18 20:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2000.10.16 19:43:26 | 000,050,881 | ---- | C] () -- C:\Programme\Readme.html
[2000.10.16 18:16:38 | 000,225,280 | ---- | C] () -- C:\WINDOWS\System32\Scint100.dll
[2000.10.16 18:16:38 | 000,110,592 | ---- | C] () -- C:\WINDOWS\System32\sccres100.dll
 
========== LOP Check ==========
 
[2009.09.19 09:52:08 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
[2011.11.13 10:07:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CheckPoint
[2009.02.17 20:43:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
[2008.04.20 11:09:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ElsterFormular
[2004.12.20 22:59:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
[2005.01.01 20:51:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
[2007.05.13 08:53:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010.05.10 17:45:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Amazon
[2007.01.02 15:22:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Bertelsmann
[2005.03.23 19:54:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Canon
[2004.09.12 14:25:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\CD-LabelPrint
[2010.07.03 21:44:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\CheckPoint
[2010.08.26 17:34:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\CoSoSys
[2005.07.29 15:42:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\InterVideo
[2004.01.26 22:51:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Opera
[2010.07.17 08:36:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Pegasys Inc
[2006.10.23 18:02:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Pixmantec
[2010.03.14 10:58:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\QuickScan
[2004.11.23 22:20:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\ScanSoft
[2010.09.13 11:30:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Thunderbird
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011.11.18 20:57:28 | 000,000,000 | ---D | M] -- C:\32788R22FWJFW
[2004.03.16 16:51:26 | 000,000,000 | ---D | M] -- C:\ATI
[2004.09.11 18:59:54 | 000,000,000 | -H-D | M] -- C:\BJPrinter
[2004.10.14 11:22:53 | 000,000,000 | ---D | M] -- C:\cache
[2005.03.23 19:39:00 | 000,000,000 | ---D | M] -- C:\CanoScan
[2010.11.05 20:31:54 | 000,000,000 | RHSD | M] -- C:\cmdcons
[2010.03.15 17:07:40 | 000,000,000 | ---D | M] -- C:\cofi
[2010.03.14 14:43:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2005.08.26 12:46:13 | 000,000,000 | ---D | M] -- C:\downloads
[2010.06.10 08:15:31 | 000,000,000 | ---D | M] -- C:\DVD_VIDEO
[2005.05.06 22:49:54 | 000,000,000 | ---D | M] -- C:\JDSecure
[2004.01.29 19:48:48 | 000,000,000 | ---D | M] -- C:\netscape
[2004.09.09 10:16:16 | 000,000,000 | ---D | M] -- C:\Program Files
[2011.11.13 11:44:02 | 000,000,000 | R--D | M] -- C:\Programme
[2011.11.18 20:57:28 | 000,000,000 | ---D | M] -- C:\Qoobox
[2010.11.05 21:25:19 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2005.02.05 17:32:27 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2006.12.13 21:18:51 | 000,000,000 | ---D | M] -- C:\TempEI4
[2011.11.18 20:58:04 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2004.01.26 20:45:51 | 000,000,000 | ---D | M] -- C:\WUTemp
 
< %PROGRAMFILES%\*.exe >
[2006.12.16 09:32:13 | 023,663,088 | ---- | M] () -- C:\Programme\Mein_CEWE_FOTOBUCH.exe
 
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.manifest /3 >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
 
< MD5 for: EXPLORER.EXE  >
[2002.08.29 02:43:36 | 001,007,104 | ---- | M] (Microsoft Corporation) MD5=22B0A56E6C5847292437078B484EC61B -- C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
[2004.08.04 00:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\ERDNT\cache\explorer.exe
[2004.08.04 00:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\explorer.exe
[2004.08.04 00:57:54 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\ServicePackFiles\i386\explorer.exe
[2004.08.04 08:57:53 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\explorer.exe
[2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\explorer.exe
 
< MD5 for: REGEDIT.EXE  >
[2004.08.04 00:58:10 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\regedit.exe
[2004.08.04 00:58:10 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\ServicePackFiles\i386\regedit.exe
[2004.08.04 08:58:09 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=8193CE5FB09E83F2699FD65BBCBE2FD2 -- C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\regedit.exe
[2008.04.14 03:22:58 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\regedit.exe
[2002.08.29 02:43:40 | 000,141,312 | ---- | M] (Microsoft Corporation) MD5=FD95FFECC4B1FE72597D7FA6AF8C2870 -- C:\WINDOWS\$NtServicePackUninstall$\regedit.exe
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 03:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\userinit.exe
[2002.08.29 02:43:42 | 000,022,528 | ---- | M] (Microsoft Corporation) MD5=BEBD3F08461F9A88E5ABCE0CB9707000 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
[2004.08.04 00:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\ERDNT\cache\userinit.exe
[2004.08.04 00:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2004.08.04 08:58:16 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\userinit.exe
[2004.08.04 00:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 00:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\ERDNT\cache\winlogon.exe
[2004.08.04 00:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2004.08.04 08:58:19 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\SoftwareDistribution\Download\fa6fb01ac82a6e60ca928c584157ebda\winlogon.exe
[2004.08.04 00:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe
[2002.08.29 02:43:42 | 000,521,728 | ---- | M] (Microsoft Corporation) MD5=616896B708286DA98D6A099293F181D7 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2004.06.17 18:42:13 | 000,488,448 | ---- | M] (Microsoft Corporation) MD5=E40A881E0EF53994B22D9DB55E94DBED -- C:\WINDOWS\SoftwareDistribution\Download\256adcee6446c05a52e0f442d0ccb199\sp1qfe\winlogon.exe
[2004.06.17 01:09:16 | 000,488,448 | ---- | M] (Microsoft Corporation) MD5=E40A881E0EF53994B22D9DB55E94DBED -- C:\WINDOWS\SoftwareDistribution\Download\33ff811e0317795b71f6b10d11879c13\sp1qfe\winlogon.exe
[2008.04.14 03:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\SoftwareDistribution\Download\a746b2abbbec3e139e29152ba22decd1\winlogon.exe
 
< HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs >
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2005.10.06 04:08:49 | 001,839,616 | ---- | M] (Microsoft Corporation)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU >
 
< HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs >
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2010-11-05 16:53:14
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5093AE21

< End of report >

markusg · 19.11.2011, 15:39

hi,
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

wenjin · 19.11.2011, 16:01

Zitat:

Zitat von markusg

hi,
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Hallo Markusq,

wenn ich Combofix starte, werden zunächst einige Dateien entpackt. Dann erscheint einfach der blaue Bildschirm, wie im Tutorium zu sehen. Allerdings ohne das irgendwas passiert oder angezeigt wird. Es blinkt lediglich oben links der Cursor. Es kommt kein Haftungsausschluss und auch keine Anzeige, dass Combofix vorbereitet wird. Ich hab einige Minuten gewartet, aber leider ohne Erfolg. Avira hab ich deaktiviert und auch sonst keine Programme geöffnet.

Komisch, dass die anderen Scanner bisher einwandfrei funktionierten. Stelle übrigens gerade fest, dass sich das Windows-eigene Notepad nicht öffnen lässt. Genauer: erst dann aufspringt, wenn ich Firefox schließe.

Danke soweit
Wen

Danke soweit
Wen

markusg · 19.11.2011, 16:09

hi, starte mal neu, in den abgesicherten modus mit netzwerk, sollte bei pc start mit f8 zu erreichen sein.
dort versuchs noch mal.

wenjin · 19.11.2011, 17:02

Folgendes ist passiert.

Starte WinXP im abgesicherten Modus mit Netzwerktreibern und führe Combofix aus.
Wieder kein Haftungsausschluss. Dafür ziemlich bald ein Fenster "...Combofix hat Rootkit-Aktivitäten festgestellt. Der Rechner muss neu gestartet werden." o.s.ä. Automatischer Neustart folgt.
Ich lasse den Rechner im normalen Modus neu starten. Noch während des Windows-Startbildschirms erscheint dreimal die altbekannte Meldung "Die Anwendung konnte nicht richtig initialisiert werden". bzgl. der Dateien sed.3xe, hidec.3xe und sort.ext (Combobix-Datein?) Weitere Fehlermeldungen dieser Art folgen mit Erscheinen des Desktops.
Sobald der Desktop geladen ist geht Combofix auf und in dem blauen Fenster erscheint: "Die Datei "Mirrors" kann nicht gefunden werden." - Weiter passiert nichts.
Starte Combofix nochmal -> entpackt Dateien -> Meldung erscheint: "Inkompatibles Betriebssystem. Combofix läuft nur unter Windows 2000 oder XP."
Starte den Rechner neu im abgesicherten Modus mit Netzwerktreibern
Starte Combofix: nix passiert -> starte Combofix nochmal: "Warning: Do not run in compatibility mode" -> Klicke die Meldung weg, nichts passiert. -> 3. Versuch: Blauer Combofix-Bildschirm erscheint mit blinkendem Cursor oben links, sonst passiert nichts
Starte den Rechner neu im abges. Modus OHNE Netzwerktreiber
Combofix läuft!
Nach kurzer Zeit zeigt mir der blaue Combofix-Bildschrim: "Versuche neuen Systemwiederherstellungspunkt zu erstellen" - Nachdem etwa 10 Minuten nichts passiert, verliere ich die Geduld: Offensichtlich hat sich Combofix aufgehängt und lässt sich nur noch über den Taskmanager schließen
Führe Combofix nochmal aus. Diesmal kommst es immerhin zu der Meldung, dass das System gescannt wird.
Jetzt will ich natürlich nicht ungeduldig sein, aber der Rechner hat während der letzten 5-10 Minuten keinen Mucks mehr von sich gegeben. Ich fürchte, dass sich Combofix wieder aufgehängt hat und der Scan wieder abgebrochen wurde.

Heiliger Bimbam, da haben wir uns ja was eingefangen. Hast Du noch eine Idee, was ich tun kann, Markus?

Vielen Dank
Wen

markusg · 19.11.2011, 17:05

hiho
achtung!
jo wenn ihr den pc nicht mit updates versorgt, kein wunder
dieses script sowie evtl. folgende scripts sind nur für den jeweiligen user.
wenn ihr probleme habt, eröffnet eigene topics und wartet auf, für euch angepasste scripts.

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

Code:

ATTFilter

:OTL
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\appconf32.exe) -C:\WINDOWS\system32\appconf32.exe ()
:Files
C:\WINDOWS\system32\appconf32.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.
öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
folge dem link, und lade das archiv im upload channel hoch
http://www.trojaner-board.de/54791-a...ner-board.html

wenjin · 19.11.2011, 18:02

Hier also die Log-Datei:

Code:

ATTFilter

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\ not found.
File \WINDOWS\system32\appconf32.exe) -C:\WINDOWS\system32\appconf32.exe not found.
========== FILES ==========
File move failed. C:\WINDOWS\system32\appconf32.exe scheduled to be moved on reboot.
========== COMMANDS ==========
 
[EMPTYFLASH]
 
User: All Users
 
User: Default User
 
User: HelpAssistant
->Flash cache emptied: 0 bytes
 
User: LocalService
 
User: ***
->Flash cache emptied: 47163 bytes
 
User: NetworkService
 
Total Flash Files Cleaned = 0,00 mb
 
 
[EMPTYTEMP]
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: HelpAssistant
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 2126216 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: ***
->Temp folder emptied: 232670220 bytes
->Temporary Internet Files folder emptied: 11012321 bytes
->Java cache emptied: 3574208 bytes
->FireFox cache emptied: 37340052 bytes
->Flash cache emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 2131672 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 136 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2155094 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 278,00 mb
 
 
OTL by OldTimer - Version 3.2.31.0 log created on 11192011_174116

Files\Folders moved on Reboot...
C:\WINDOWS\system32\appconf32.exe moved successfully.

Registry entries deleted on Reboot...

Die ZIP-Datei hab ich per Upload-Channel hochgeladen.

markusg · 19.11.2011, 19:07

nutzt ihr das system für onlinebanking einkäufe oder sonst was wichtiges, wie zb berufliches?

wenjin · 19.11.2011, 19:28

Hi Markus,

ja, meine Freundin nutzt den Rechner für beides, also beruflich und für die Bankgeschäfte.

markusg · 19.11.2011, 19:33

hi,
ihr habt einen trojan.banker.
dieser stiehlt sensible daten auch das onlinebanking betreffend.
onlinebanking muss gesperrt werden:
116 116
ist die notfall nummer, dort anrufen.
dieses system muss neu aufgesetzt werden.
datensicherung ist möglich, bilder dokumente (persönliches)
vorher autorun aus:
Tipparchiv - Autorun/Autoplay gezielt für Laufwerkstypen oder -buchstaben abschalten - WinTotal.de
dann formatieren.
wie das geht erkläre ich gern.
dann das system diesmal richtig absichern, auch dazu gibts ne anleitung.
dann passwörter endern
und finger weg von irgendwelchen halb legalen bzw illegalen downloads, nichts gibts umsonst heut zu tage, zumindest nicht wenn man es sich auf illegalem weg verschaffen will.
und wenn man onlinebanking macht sollte man schon auf den pc achten.

wenjin · 19.11.2011, 19:54

Hallo Markus,

meine Freundin hat Ihren Banking-Pin geändert und nochmal bei der von Dir geposteten Sperr-Hotline angerufen. Die meinten, das würde soweit reichen. Sie ruft am Montag dann nochmal bei der Bank an. Sonstige Passwörter wird sie ändern.

Datensicherung werde ich machen und dann Eure Anleitung für die Absicherung durchgehen. Sollte ich noch Fragen haben, melde ich mich nochmal.

Tausend Dank nochmal (auch von meiner Freundin). Du bist uns eine sehr große Hilfe gewesen. Wir werden uns erkenntlich zeigen!

Dir noch einen schönen Abend
Wen

markusg · 19.11.2011, 19:58

hi, aber ihr habt ja wohl hoffendlich nicht von dem pc aus die passwörter geendert, das wäre ziemlich sinnlos :d
bitte lösche bei der formatierung auch mal alle partitionen und erstelle sie neu.
nicht die schnelle formatierung wählen!
dann weiter und zwar in reihenfolge:
- servicepack3:
Detail Seite Windows XP Service Pack 3-Netzwerkinstallationspaket für IT-Spezialisten und Entwickler
- internet explorer 8, auch wenn du nen andern browser nutzt, muss er aktuell sein.
Detail Seite Windows Internet Explorer 8 für Windows XP
- automatische updates so konfigurieren, das sie automatisch geladen/instaliert werden:
Konfigurieren und Verwenden des Features "Automatische Updates" in Windows
ich persönlich empfehle als antimalware programm emsisoft, schüler /studenten bekommen das 50 % günstiger, testen kann mans auch 30 tage.
als kostenloses empfehle ich avast.
die nun folgende anleitung ist lang, ich weis, sie sollte aber komplett durchgearbeitet werden um den maximalen schutz zu erreichen.
bei fragen, melden
ich hab meine anleitung auf den opera angepasst, wenn der dir nicht gefällt, sag mir dass, dann muss ich ein paar teile endern.
http://www.trojaner-board.de/96344-a...-rechners.html
hier alles unter xp abarbeiten, außer:
windows dienste, der link geht nicht.
Als nächstes kommen wir zu dem Antimalware Programm.
Dieses ist ein wichtiger Bestandteil des Sicherheitskonzeptes, deswegen sollte man sich gut überlegen, welche Wahl man trifft.
Bei den kostenlosen Scannern halte ich Persönlich Avast! für die beste Wahl.
Als kostenpflichtiges würde ich Emsisoft empfehlen
Meine Antivirus-Empfehlung: Emsisoft Anti-Malware
Weitere Vertreter .
kaspersky:
Kaspersky Lab: Antivirus software
Symantec (Norton)
Symantec - AntiVirus, Anti-Spyware, Endpoint Security, Backup, Storage Solutions

Browserwahl:
Da wir häufig mit dem Browser arbeiten, ist diese Wahl natürlich ebenfalls wichtig, die wichtigen Vertreter befinden sich in dem Verlinktem Thema.
ich persönlich rate dir zum opera
Sandboxie
Die devinition einer Sandbox ist hier nachzulesen:
Sandbox
Kurz gesagt, man kann Programme fast 100 %ig isuliert vom System ausführen.

Der Vorteil liegt klar auf der Hand, wenn über den Browser Schadcode eingeschläust wird, kann dieser nicht nach außen dringen.
Download Link:
http://www.trojaner-board.de/71542-a...sandboxie.html
ausführliche anleitung als pdf, auch abarbeiten:
Anleitung: Backup mit Windows 7-Bordmitteln - NETZWELT
Dies ist aber leider nur für Windows 7 Nutzer vernünftig nutzbar.
Alle Anderen sollten sich aber auf jeden fall auch ein Backup Programm instalieren, denn dies kann unter Umständen sehr wichtig sein, zum Beispiel, wenn die Festplatte einmal kaputt ist.

Zum Schluss, die allgemeinen sicherheitstipps beachten, wenn es dich betrifft, den Tipp zum Onlinebanking beachten und alle Passwörter ändern
surfe jetzt also nur noch im standard nutzer konto und dort in der sandbox.
wenn du die kostenlose version nutzt, dann mit klick auf sandboxed web browser, wenn du die bezahlversion hast, kannst du erzwungene programm starts festlegen, dann wird Sandboxie immer gestartet wenn du nen browser aufrufst.
wenn du mit der maus über den browser fährst sollte der eingerahmt sein, dann bist du im sandboxed web browser

wenjin · 19.11.2011, 20:18

Wow, das nicht Support! Vielen Dank, Markus.

Das Passwort haben wir natürlich auf einem anderen Rechner geändert. Die infizierte Kiste werde ich jetzt nur noch für die Datensicherung und Formatierung anschmeißen.

Herzlichen Dank und viele Grüße
Wen

wenjin · 20.11.2011, 13:34

Markus, eine Frage hab ich noch: Können der/die gefundene/n Trojaner denn auch auf eine andere Partition als die Betriebssystem-/Programmpartition zugreifen bzw. diese infizieren? Oder kann man davon ausgehen, dass reine Datenpartition nicht betroffen sind?

markusg · 20.11.2011, 15:52

hi, kannst du..
aber es wäre mir lieb wenn du über die windows cd (rettungskonsole)
Beschreibung der Windows*XP-Wiederherstellungskonsole für fortgeschrittene Benutzer
fixmbr und fixboot ausführst vor dem formatieren.

19.11.2011, 15:39	#2
markusg /// Malware-holic	Anwendungen können nicht intialisiert werden u.a. hi, bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix __________________ __________________

Anwendungen können nicht intialisiert werden u.a.

Plagegeister aller Art und deren Bekämpfung: Anwendungen können nicht intialisiert werden u.a.