| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Olmarik.TDL4 TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
07.01.2012, 20:01
| #1 |
| |  Olmarik.TDL4 Trojaner Guten Abend Virenjäger, der Rechner meiner Internet-Senioren hat sich 2 Trojaner zu Weihnachten eingefangen. Sie waren natürlich als Admin im web, was soll ich dazu sagen?  Da ich mich um solche Probleme nur am Wochenende kümmern kann, hoffe ich trotzdem auf Hilfe. Da in vielen Tread von den Helfern abgeraten wurde, die Beseitigung mit den Spezialprogrammen alleine zu kopieren, möchte ich meine Probleme hier schildern. Der Virenscanner ESET Nod32 zeigt folgende Funde an, kann sie aber nicht beseitigen Code:
ATTFilter
07.01.2012 18:37:51 Prüfung der Systemstartdateien Datei Arbeitsspeicher » svchost.exe(896) Variante von Win32/Olmasco.O Trojaner Säubern nicht möglich PC-GIEBE\Admin
07.01.2012 18:37:48 Prüfung der Systemstartdateien Arbeitsspeicher Arbeitsspeicher Win32/Olmarik.TDL4 Trojaner Säubern nicht möglich PC-GIEBE\Admin
07.01.2012 18:21:06 Prüfung der Systemstartdateien Datei Arbeitsspeicher » svchost.exe(1232) Variante von Win32/Olmasco.O Trojaner Säubern nicht möglich
07.01.2012 18:21:03 Prüfung der Systemstartdateien Arbeitsspeicher Arbeitsspeicher Win32/Olmarik.TDL4 Trojaner Säubern nicht möglich
07.01.2012 16:28:06 Prüfung der Systemstartdateien Datei Arbeitsspeicher » svchost.exe(1232) Variante von Win32/Olmasco.O Trojaner Säubern nicht möglich PC-GIEBE\Admin
07.01.2012 16:27:50 Prüfung der Systemstartdateien Arbeitsspeicher Arbeitsspeicher Win32/Olmarik.TDL4 Trojaner Säubern nicht möglich PC-GIEBE\Admin
07.01.2012 16:22:09 Prüfung der Systemstartdateien Datei Arbeitsspeicher » svchost.exe(1232) Variante von Win32/Olmasco.O Trojaner Säubern nicht möglich
07.01.2012 16:22:04 Prüfung der Systemstartdateien Arbeitsspeicher Arbeitsspeicher Win32/Olmarik.TDL4 Trojaner Säubern nicht möglich
Ich habe schon wie in der Einleitung erläutert, die beschriebenen Programme laufen lassen. Zusätzlich habe ich Malwarebytes Anti-Malware scannen lassen. MAM Log Code:
ATTFilter Malwarebytes Anti-Malware 1.60.0.1800 www.malwarebytes.org Datenbank Version: v2012.01.03.03 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Admin :: PC-GIEBE [Administrator] 03.01.2012 17:56:53 mbam-log-2012-01-03 (17-56-53).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 312110 Laufzeit: 1 Stunde(n), 8 Minute(n), 52 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 6 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowControlPanel (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowRun (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt. Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) OTL Log OTL Logfile: Code:
ATTFilter OTL logfile created on: 07.01.2012 17:58:15 - Run 1 OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Admin\Desktop Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 8.0.6001.18702) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 1022,96 Mb Total Physical Memory | 382,70 Mb Available Physical Memory | 37,41% Memory free 2,40 Gb Paging File | 1,93 Gb Available in Paging File | 80,34% Paging File free Paging file location(s): C:\pagefile.sys 1533 1600 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme Drive C: | 74,53 Gb Total Space | 32,24 Gb Free Space | 43,26% Space Free | Partition Type: NTFS Computer Name: PC-GIEBE | User Name: Admin | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Quick Scan Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days ========== Processes (SafeList) ========== PRC - [2012.01.07 17:52:50 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\desktop\OTL.exe PRC - [2011.09.23 07:21:34 | 000,974,944 | ---- | M] (ESET) -- C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe PRC - [2011.09.23 07:21:26 | 003,080,264 | ---- | M] (ESET) -- C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe PRC - [2011.07.29 16:17:27 | 000,917,504 | ---- | M] (Digital Dynamic) -- C:\Programme\Digital Dynamic\Advanced Backup Manager\backupmanager.exe PRC - [2011.06.15 17:33:20 | 000,249,648 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft\BingBar\SeaPort.EXE PRC - [2010.09.30 02:06:46 | 000,169,408 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe PRC - [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe PRC - [2008.04.14 13:00:00 | 000,422,400 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\system32\ntvdm.exe PRC - [2007.06.05 12:20:32 | 000,177,704 | ---- | M] () -- C:\WINDOWS\system32\PSIService.exe ========== Modules (No Company Name) ========== MOD - [2011.09.05 18:04:58 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU MOD - [2007.06.05 12:20:32 | 000,177,704 | ---- | M] () -- C:\WINDOWS\system32\PSIService.exe MOD - [2002.11.26 13:43:18 | 000,106,496 | ---- | M] () -- C:\WINDOWS\system32\BrMuSNMP.dll ========== Win32 Services (SafeList) ========== SRV - File not found [On_Demand | Stopped] -- -- (AppMgmt) SRV - File not found [Auto | Stopped] -- -- (AcrSch2Svc) SRV - [2011.09.23 07:21:34 | 000,974,944 | ---- | M] (ESET) [Auto | Running] -- C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe -- (ekrn) SRV - [2011.07.29 16:17:27 | 000,147,456 | ---- | M] (Digital Dynamic) [Auto | Stopped] -- C:\WINDOWS\system32\virtualdisk.dll -- (vrtldsksvc) SRV - [2011.07.07 19:31:08 | 000,195,336 | ---- | M] (Microsoft Corporation.) [On_Demand | Stopped] -- C:\Programme\Microsoft\BingBar\BBSvc.EXE -- (BBSvc) SRV - [2011.06.15 17:33:20 | 000,249,648 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Microsoft\BingBar\SeaPort.EXE -- (BBUpdate) SRV - [2010.09.30 02:06:46 | 000,169,408 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe -- (AdobeActiveFileMonitor9.0) SRV - [2008.08.20 06:08:30 | 000,070,336 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe -- (HRService) SRV - [2007.06.05 12:20:32 | 000,177,704 | ---- | M] () [Auto | Running] -- C:\WINDOWS\system32\PSIService.exe -- (ProtexisLicensing) SRV - [2004.10.22 02:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT) ========== Driver Services (SafeList) ========== DRV - [2011.08.09 13:57:10 | 000,154,136 | ---- | M] (ESET) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\eamon.sys -- (eamon) DRV - [2011.08.04 09:20:38 | 000,103,112 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\epfwtdir.sys -- (epfwtdir) DRV - [2011.08.04 09:20:36 | 000,118,104 | ---- | M] (ESET) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ehdrv.sys -- (ehdrv) DRV - [2011.07.29 16:17:27 | 000,028,632 | ---- | M] (Olof Lagerkvist) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\virtualdisk.sys -- (vrtldskdrv) DRV - [2009.06.25 13:49:19 | 000,368,480 | ---- | M] (Acronis) [Kernel | Boot | Running] -- C:\WINDOWS\system32\DRIVERS\tdrpman.sys -- (tdrpman) DRV - [2003.11.17 20:39:38 | 000,099,476 | ---- | M] (Syntek Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\STK017W2.sys -- (DCamUSBSTK017) DRV - [2003.09.19 15:45:48 | 000,021,248 | ---- | M] (Padus, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\pfc.sys -- (pfc) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10168&gct=&gc=1&q= IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie IE - HKCU\..\URLSearchHook: {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Programme\MyAshampoo\prxtbMyA2.dll (Conduit Ltd.) IE - HKCU\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll () IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google) FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.) FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\4.0.60831.0\npctrl.dll File not found FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation) FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Programme\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.79\npGoogleUpdate3.dll (Google Inc.) FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.) FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.01.03 19:20:32 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2011.10.31 11:11:54 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\eplgTb@eset.com: C:\Programme\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird [2011.12.30 15:07:38 | 000,000,000 | ---D | M] [2010.01.15 22:11:40 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Extensions [2011.12.06 09:41:27 | 000,000,000 | -H-D | M] (No name found) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions [2010.04.27 19:52:29 | 000,000,000 | -H-D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\{20a82645-c095-46ed-80e3-08825760534b} [2011.12.06 09:41:22 | 000,000,000 | -H-D | M] (Softonic Deutsch Community Toolbar) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c} [2011.12.03 10:30:12 | 000,000,000 | -H-D | M] (Softonic Deutsch FF Community Toolbar) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\{9d81af43-de53-48d0-a199-42c2a226b24c} [2011.12.06 09:41:27 | 000,000,000 | -H-D | M] (MyAshampoo Community Toolbar) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\{a1e75a0e-4397-4ba8-bb50-e19fb66890f4} [2011.05.19 10:45:59 | 000,000,000 | -H-D | M] (Conduit Engine) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\engine@conduit.com [2010.08.20 19:26:00 | 000,000,000 | -H-D | M] (Fast Youtube Downloader) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\fastYoutubeDownloader@yevgenyandrov.net [2010.08.20 19:26:03 | 000,000,000 | -H-D | M] (1-Click YouTube Video Downloader) -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\45x0tekx.default\extensions\YoutubeDownloader@PeterOlayev.com [2010.01.15 22:11:15 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions [2009.03.01 10:18:31 | 000,000,000 | ---D | M] (Long Titles) -- C:\PROGRAMME\HAUFE\IDESK\IDESKBROWSER\EXTENSIONS\{C24AECC7-7C95-507F-D71F-155CB86656DF} [2012.01.03 19:20:31 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2011.10.04 11:15:10 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2011.10.04 11:15:10 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2011.10.04 11:15:10 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2011.10.04 11:15:10 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2011.10.04 11:15:10 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2011.10.04 11:15:10 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2012.01.03 15:40:46 | 000,440,047 | R--- | M]) - C:\WINDOWS\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O1 - Hosts: 127.0.0.1 www.007guard.com O1 - Hosts: 127.0.0.1 007guard.com O1 - Hosts: 127.0.0.1 008i.com O1 - Hosts: 127.0.0.1 www.008k.com O1 - Hosts: 127.0.0.1 008k.com O1 - Hosts: 127.0.0.1 www.00hq.com O1 - Hosts: 127.0.0.1 00hq.com O1 - Hosts: 127.0.0.1 010402.com O1 - Hosts: 127.0.0.1 www.032439.com O1 - Hosts: 127.0.0.1 032439.com O1 - Hosts: 127.0.0.1 www.0scan.com O1 - Hosts: 127.0.0.1 0scan.com O1 - Hosts: 127.0.0.1 1000gratisproben.com O1 - Hosts: 127.0.0.1 www.1000gratisproben.com O1 - Hosts: 127.0.0.1 1001namen.com O1 - Hosts: 127.0.0.1 www.1001namen.com O1 - Hosts: 127.0.0.1 www.100888290cs.com O1 - Hosts: 127.0.0.1 100888290cs.com O1 - Hosts: 127.0.0.1 100sexlinks.com O1 - Hosts: 127.0.0.1 www.100sexlinks.com O1 - Hosts: 127.0.0.1 10sek.com O1 - Hosts: 127.0.0.1 www.10sek.com O1 - Hosts: 127.0.0.1 1-2005-search.com O1 - Hosts: 127.0.0.1 www.1-2005-search.com O1 - Hosts: 15129 more lines... O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O2 - BHO: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Programme\MyAshampoo\prxtbMyA2.dll (Conduit Ltd.) O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.7018.1622\swg.dll (Google Inc.) O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.) O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll (Conduit Ltd.) O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Programme\Microsoft\BingBar\BingExt.dll (Microsoft Corporation.) O3 - HKLM\..\Toolbar: (MyAshampoo Toolbar) - {a1e75a0e-4397-4ba8-bb50-e19fb66890f4} - C:\Programme\MyAshampoo\prxtbMyA2.dll (Conduit Ltd.) O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - No CLSID value found. O3 - HKCU\..\Toolbar\WebBrowser: (MyAshampoo Toolbar) - {A1E75A0E-4397-4BA8-BB50-E19FB66890F4} - C:\Programme\MyAshampoo\prxtbMyA2.dll (Conduit Ltd.) O4 - HKLM..\Run: [egui] C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe (ESET) O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\nvmctray.dll (NVIDIA Corporation) O4 - HKCU..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil11c_Plugin.exe (Adobe Systems, Inc.) O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1 O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0 O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Recovery present O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.) O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.) O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{57407A19-AFA0-4A43-899D-EC7366D6332C}: NameServer = 217.237.149.205,217.237.151.51 O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) -C:\WINDOWS\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) -C:\WINDOWS\system32\userinit.exe (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2008.12.05 09:01:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O34 - HKLM BootExecute: (autocheck autochk *) O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML) ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015C} - Microsoft DirectX ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7 ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789) ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - c:\WINDOWS\system32\Rundll32.exe c:\WINDOWS\system32\mscories.dll,Install ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1 ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE NetSvcs: 6to4 - File not found NetSvcs: AppMgmt - File not found NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Irmon - File not found NetSvcs: NWCWorkstation - File not found NetSvcs: Nwsapagent - File not found NetSvcs: WmdmPmSp - File not found MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Desktop Sidebar.lnk - - File not found MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE - (Microsoft Corporation) MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^STK017 PNP Monitor.lnk - Reg Error: Value error. - File not found MsConfig - StartUpReg: Acronis Scheduler2 Service - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: AcronisTimounterMonitor - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: Adobe Reader Speed Launcher - hkey= - key= - C:\Programme\Adobe\Reader 10.0\Reader\Reader_sl.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: AdobeAAMUpdater-1.0 - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (Adobe Systems Incorporated) MsConfig - StartUpReg: BrMfcWnd - hkey= - key= - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe () MsConfig - StartUpReg: CanonMyPrinter - hkey= - key= - C:\Programme\Canon\MyPrinter\BJMyPrt.exe (CANON INC.) MsConfig - StartUpReg: ControlCenter3 - hkey= - key= - C:\Programme\Brother\ControlCenter3\brctrcen.exe (Brother Industries, Ltd.) MsConfig - StartUpReg: ctfmon.exe - hkey= - key= - File not found MsConfig - StartUpReg: HotKeysCmds - hkey= - key= - File not found MsConfig - StartUpReg: HVUhCjGEVN.exe - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: IgfxTray - hkey= - key= - File not found MsConfig - StartUpReg: IndexSearch - hkey= - key= - C:\Programme\ScanSoft\PaperPort\IndexSearch.exe (ScanSoft, Inc.) MsConfig - StartUpReg: ISUSPM - hkey= - key= - C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe (Macrovision Corporation) MsConfig - StartUpReg: LexwareInfoService - hkey= - key= - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe (Haufe-Lexware GmbH & Co. KG) MsConfig - StartUpReg: mmtask - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: MMTray - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: NeroCheck - hkey= - key= - File not found MsConfig - StartUpReg: NvCplDaemon - hkey= - key= - File not found MsConfig - StartUpReg: NvMediaCenter - hkey= - key= - File not found MsConfig - StartUpReg: nwiz - hkey= - key= - File not found MsConfig - StartUpReg: PaperPort PTD - hkey= - key= - C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.) MsConfig - StartUpReg: Persistence - hkey= - key= - File not found MsConfig - StartUpReg: QuickTime Task - hkey= - key= - C:\Programme\QuickTime\QTTask.exe (Apple Inc.) MsConfig - StartUpReg: SpybotSD TeaTimer - hkey= - key= - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.) MsConfig - StartUpReg: SSBkgdUpdate - hkey= - key= - C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.) MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= - C:\Programme\Java\jre6\bin\jusched.exe (Sun Microsystems, Inc.) MsConfig - StartUpReg: SW20 - hkey= - key= - File not found MsConfig - StartUpReg: SW24 - hkey= - key= - File not found MsConfig - StartUpReg: swg - hkey= - key= - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.) MsConfig - StartUpReg: TrueImageMonitor.exe - hkey= - key= - Reg Error: Value error. File not found MsConfig - StartUpReg: WinSys2 - hkey= - key= - Reg Error: Value error. File not found MsConfig - State: "system.ini" - 0 MsConfig - State: "win.ini" - 0 MsConfig - State: "bootini" - 0 MsConfig - State: "services" - 0 MsConfig - State: "startup" - 2 CREATERESTOREPOINT Restore point Set: OTL Restore Point ========== Files/Folders - Created Within 30 Days ========== [2012.01.07 17:53:00 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe [2012.01.07 16:33:43 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Admin\Recent [2012.01.07 16:17:26 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood [2012.01.03 19:33:49 | 000,000,000 | ---D | C] -- C:\Malwarebytes [2012.01.03 18:13:46 | 001,578,288 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Admin\Desktop\tdsskiller.exe [2012.01.03 17:55:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes [2012.01.03 17:55:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware [2012.01.03 17:55:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes [2012.01.03 17:55:10 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [2012.01.03 17:55:10 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware [2012.01.03 17:34:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\CCleaner [2011.12.30 15:07:36 | 000,000,000 | ---D | C] -- C:\Programme\ESET [2011.12.30 15:07:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ESET [2011.12.30 12:32:45 | 000,014,664 | ---- | C] (McAfee, Inc.) -- C:\WINDOWS\stinger.sys [2011.12.30 12:31:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\Virus [2011.12.23 18:15:52 | 000,000,000 | ---D | C] -- C:\Programme\WindowsAIK [2011.12.23 16:34:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\ESET [2011.12.23 16:34:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ESET [2011.12.23 10:01:53 | 000,000,000 | ---D | C] -- C:\Virenscanner [2011.12.22 13:08:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\SupportAppCB [2011.12.22 08:11:54 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft [2011.12.21 13:21:09 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\ESET [2011.12.21 11:29:58 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET [2011.12.17 16:30:26 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\Spiele [2011.12.17 16:26:32 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\Löwenzahn [2011.12.17 10:31:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1} [2011.12.16 20:24:19 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN [2011.12.08 19:04:58 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Admin\Desktop\LOGO [2011.12.08 19:00:29 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Admin\InstallAnywhere [2011.12.08 19:00:16 | 000,000,000 | ---D | C] -- C:\tmp [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012.01.07 17:54:49 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl [2012.01.07 17:52:50 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Admin\Desktop\OTL.exe [2012.01.07 16:22:38 | 000,063,804 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml [2012.01.07 16:15:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat [2012.01.04 18:07:56 | 000,001,086 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\PEARL_PrintProfi_Etiketten..lnk [2012.01.03 20:40:48 | 000,014,664 | ---- | M] (McAfee, Inc.) -- C:\WINDOWS\stinger.sys [2012.01.03 19:18:54 | 001,578,288 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Admin\Desktop\tdsskiller.exe [2012.01.03 17:34:18 | 000,000,654 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk [2012.01.03 15:40:46 | 000,440,047 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts [2012.01.03 13:59:01 | 000,000,966 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job [2011.12.30 19:33:33 | 000,001,737 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\ESET NOD32 Antivirus.lnk [2011.12.30 19:29:36 | 000,000,861 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Ashampoo 2.lnk [2011.12.30 19:28:20 | 000,000,696 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Ashampoo 4.lnk [2011.12.30 15:49:04 | 000,492,404 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat [2011.12.30 15:49:04 | 000,472,894 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat [2011.12.30 15:49:04 | 000,090,794 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat [2011.12.30 15:49:04 | 000,075,988 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat [2011.12.23 17:08:29 | 000,092,672 | ---- | M] () -- C:\WINDOWS\System32\ddldr64.dll [2011.12.23 17:08:25 | 000,368,640 | ---- | M] () -- C:\WINDOWS\System32\ddad.dll [2011.12.23 16:26:09 | 000,077,824 | ---- | M] () -- C:\WINDOWS\System32\ddldr32.dll [2011.12.23 16:26:08 | 000,002,477 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Microsoft Word.lnk [2011.12.22 09:14:19 | 000,000,211 | -HS- | M] () -- C:\boot.ini [2011.12.21 08:03:04 | 000,000,552 | ---- | M] () -- C:\WINDOWS\System32\d3d8caps.dat [2011.12.18 10:43:03 | 000,219,248 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2011.12.17 19:36:27 | 000,001,313 | -H-- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Explorer.lnk [2011.12.17 16:58:34 | 000,000,897 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\PhotoshopElements.lnk [2011.12.17 16:44:42 | 000,000,890 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Backup Manager.lnk [2011.12.17 11:02:24 | 000,011,264 | ---- | M] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2011.12.10 15:24:06 | 000,020,464 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ] ========== Files Created - No Company Name ========== [2012.01.04 18:07:56 | 000,001,086 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\PEARL_PrintProfi_Etiketten..lnk [2012.01.03 17:34:17 | 000,000,654 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\CCleaner.lnk [2011.12.30 19:33:33 | 000,001,737 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\ESET NOD32 Antivirus.lnk [2011.12.30 19:29:36 | 000,000,861 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Ashampoo 2.lnk [2011.12.30 19:28:20 | 000,000,696 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Ashampoo 4.lnk [2011.12.22 13:10:19 | 000,000,625 | ---- | C] () -- C:\NetworkCfg.xml [2011.12.21 08:03:04 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat [2011.12.17 16:58:34 | 000,000,897 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\PhotoshopElements.lnk [2011.12.17 16:44:42 | 000,000,890 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Desktop\Backup Manager.lnk [2011.12.17 11:23:09 | 000,000,966 | ---- | C] () -- C:\WINDOWS\tasks\Google Software Updater.job [2011.09.12 19:56:03 | 000,077,824 | ---- | C] () -- C:\WINDOWS\System32\ddldr32.dll [2011.08.05 19:07:20 | 000,092,672 | ---- | C] () -- C:\WINDOWS\System32\ddldr64.dll [2011.08.05 19:07:17 | 000,368,640 | ---- | C] () -- C:\WINDOWS\System32\ddad.dll [2011.08.05 19:07:14 | 017,716,224 | ---- | C] () -- C:\WINDOWS\System32\libcef.dll [2010.07.26 20:37:14 | 000,000,848 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys [2010.05.12 21:06:28 | 000,001,359 | ---- | C] () -- C:\WINDOWS\goldwave.ini [2010.05.12 21:06:02 | 000,006,367 | ---- | C] () -- C:\WINDOWS\Gwpreset.ini [2010.01.15 22:11:27 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat [2009.11.15 15:22:35 | 000,000,143 | ---- | C] () -- C:\WINDOWS\wininit.ini [2009.11.09 09:21:09 | 000,032,140 | ---- | C] () -- C:\WINDOWS\System32\drivers\STK017W1.sys [2009.09.06 14:48:50 | 000,000,273 | ---- | C] () -- C:\WINDOWS\madagascar.ini [2009.08.25 17:05:11 | 000,000,054 | ---- | C] () -- C:\WINDOWS\uinst16.ini [2009.08.25 17:04:59 | 000,047,184 | ---- | C] () -- C:\WINDOWS\UINST16.EXE [2009.08.25 17:03:21 | 000,000,238 | ---- | C] () -- C:\WINDOWS\card.ini [2009.08.25 17:03:21 | 000,000,206 | ---- | C] () -- C:\WINDOWS\visit.ini [2009.08.25 17:03:21 | 000,000,206 | ---- | C] () -- C:\WINDOWS\label.ini [2009.08.25 17:03:21 | 000,000,206 | ---- | C] () -- C:\WINDOWS\kuvert.ini [2009.08.25 17:03:21 | 000,000,194 | ---- | C] () -- C:\WINDOWS\cd_label.ini [2009.08.25 17:03:21 | 000,000,056 | ---- | C] () -- C:\WINDOWS\katalog.ini [2009.08.25 17:03:21 | 000,000,022 | ---- | C] () -- C:\WINDOWS\browser.ini [2009.03.21 09:56:41 | 000,027,948 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat [2009.02.15 08:44:23 | 000,000,169 | ---- | C] () -- C:\WINDOWS\MatheTiger.ini [2009.01.26 19:08:07 | 000,000,063 | ---- | C] () -- C:\WINDOWS\mdm.ini [2009.01.16 18:38:21 | 000,045,056 | R--- | C] () -- C:\Programme\SetAttrib.exe [2009.01.05 19:31:13 | 000,354,816 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll [2008.12.31 14:52:28 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI [2008.12.31 13:57:49 | 000,000,425 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI [2008.12.31 13:57:49 | 000,000,027 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI [2008.12.31 13:57:24 | 000,000,824 | ---- | C] () -- C:\WINDOWS\Brpfx04a.ini [2008.12.31 13:57:24 | 000,000,093 | ---- | C] () -- C:\WINDOWS\brpcfx.ini [2008.12.31 13:57:24 | 000,000,050 | ---- | C] () -- C:\WINDOWS\System32\bridf06a.dat [2008.12.31 13:56:59 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\BrMuSNMP.dll [2008.12.31 13:56:59 | 000,000,000 | ---- | C] () -- C:\WINDOWS\brdfxspd.dat [2008.12.31 13:52:52 | 000,027,114 | ---- | C] () -- C:\WINDOWS\maxlink.ini [2008.12.31 13:25:51 | 000,011,264 | ---- | C] () -- C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008.12.05 20:23:48 | 000,011,304 | R--- | C] () -- C:\WINDOWS\System32\RS_SQLIF.INI [2008.12.05 20:23:48 | 000,000,030 | R--- | C] () -- C:\WINDOWS\System32\RS_RUN.INI [2008.12.05 14:43:03 | 000,000,000 | ---- | C] () -- C:\WINDOWS\msicpl.ini [2008.12.05 14:41:04 | 000,131,072 | R--- | C] () -- C:\WINDOWS\System32\smdll.dll [2008.12.05 14:41:01 | 000,262,144 | R--- | C] () -- C:\WINDOWS\System32\HookShield.dll [2008.12.05 14:41:01 | 000,253,952 | R--- | C] () -- C:\WINDOWS\System32\HookMAp.dll [2008.12.05 14:41:01 | 000,032,768 | R--- | C] () -- C:\WINDOWS\System32\Auxiliary.dll [2008.12.05 14:41:00 | 000,208,896 | R--- | C] () -- C:\WINDOWS\System32\sw20.exe [2008.12.05 14:41:00 | 000,200,704 | R--- | C] () -- C:\WINDOWS\System32\WinSys.exe [2008.12.05 14:41:00 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\sw24.exe [2008.12.05 14:41:00 | 000,009,728 | R--- | C] () -- C:\WINDOWS\System32\sysinfoX64.sys [2008.12.05 14:41:00 | 000,008,192 | R--- | C] () -- C:\WINDOWS\System32\sysinfo.sys [2008.12.05 09:52:56 | 000,000,044 | ---- | C] () -- C:\WINDOWS\System32\msssc.dll [2008.12.05 09:03:14 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat [2008.12.05 08:57:46 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat [2008.12.05 08:47:08 | 000,004,335 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI [2008.12.05 08:45:34 | 000,219,248 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT [2008.04.14 13:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat [2008.04.14 13:00:00 | 000,492,404 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat [2008.04.14 13:00:00 | 000,472,894 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat [2008.04.14 13:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat [2008.04.14 13:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat [2008.04.14 13:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat [2008.04.14 13:00:00 | 000,090,794 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat [2008.04.14 13:00:00 | 000,075,988 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat [2008.04.14 13:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin [2008.04.14 13:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat [2008.04.14 13:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat [2008.04.14 13:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat [2008.04.14 13:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin [2008.04.14 13:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat [2007.06.05 12:20:32 | 000,177,704 | ---- | C] () -- C:\WINDOWS\System32\PSIService.exe [2006.06.01 10:22:00 | 001,662,976 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll [2006.06.01 10:22:00 | 001,519,616 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe [2006.06.01 10:22:00 | 001,466,368 | ---- | C] () -- C:\WINDOWS\System32\nview.dll [2006.06.01 10:22:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe [2006.06.01 10:22:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll [2006.06.01 10:22:00 | 000,581,632 | ---- | C] () -- C:\WINDOWS\System32\nvhwvid.dll [2006.06.01 10:22:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll [2006.06.01 10:22:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe [2006.06.01 10:22:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe [2006.06.01 10:22:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll [2006.06.01 10:22:00 | 000,196,608 | ---- | C] () -- C:\WINDOWS\System32\nvapi.dll [2003.02.03 05:26:18 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\e100bmsg.dll [2002.03.04 10:16:34 | 000,110,592 | R--- | C] () -- C:\WINDOWS\System32\Jpeg32.dll [2001.11.19 15:48:10 | 000,202,752 | ---- | C] () -- C:\WINDOWS\System32\zlib.dll [2001.09.04 14:12:28 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin [2001.09.04 14:10:20 | 000,004,518 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat ========== LOP Check ========== [2009.06.25 13:54:29 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Acronis [2009.08.19 09:17:50 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ahnenblatt [2011.04.17 10:37:42 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Amazon [2009.08.14 15:47:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Ashampoo [2011.12.17 16:41:53 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Audacity [2011.04.22 08:01:45 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Autodesk [2011.08.09 19:37:58 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1 [2010.01.15 22:15:44 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Desktop Sidebar [2011.05.14 18:37:22 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\elsterformular [2011.12.23 16:34:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ESET [2009.02.11 16:48:07 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GlarySoft [2011.04.22 12:11:17 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\gtk-2.0 [2009.03.01 11:02:21 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Haufe [2009.02.11 16:55:13 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Intenium [2009.03.01 10:23:27 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Lexware [2009.06.14 09:57:45 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Musicmatch [2010.03.14 17:10:56 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PC-FAX TX [2012.01.04 18:05:16 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\PriceGong [2008.12.31 14:28:02 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ScanSoft [2011.01.08 10:10:24 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Uniblue [2010.11.13 11:50:06 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Waymyq [2011.03.08 18:12:51 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Yqes [2009.06.25 13:49:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Acronis [2009.08.14 15:47:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo [2009.03.01 10:32:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve [2011.10.22 18:19:08 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ [2011.05.14 18:36:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular [2011.12.30 15:03:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET [2011.08.09 19:49:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\espionServerData [2009.08.11 21:03:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FireGlow [2009.03.01 10:17:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe [2010.06.25 17:53:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Intenium [2010.01.26 10:34:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware [2011.08.09 19:31:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\regid.1986-12.com.adobe [2008.12.31 13:52:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft [2010.06.25 17:53:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScreenSeven [2010.08.14 20:56:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Terzio [2010.07.26 13:38:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems [2011.12.17 10:31:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{83C3B2FD-37EA-4C06-A228-E9B5E32FF0B1} ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2011.12.16 20:24:19 | 000,000,000 | -HSD | M] -- C:\$RECYCLE.BIN [2009.08.15 16:52:04 | 000,000,000 | ---D | M] -- C:\775d69d9b49ae127151ff0832589669b [2009.08.19 14:09:03 | 000,000,000 | ---D | M] -- C:\Brother [2012.01.03 19:26:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2008.12.31 13:29:33 | 000,000,000 | ---D | M] -- C:\DSL-Router [2009.08.15 08:16:59 | 000,000,000 | ---D | M] -- C:\e92f19587614b529879b [2011.11.25 15:56:42 | 000,000,000 | ---D | M] -- C:\Holger [2010.12.10 16:16:04 | 000,000,000 | ---D | M] -- C:\IA_Installers [2012.01.05 20:42:25 | 000,000,000 | ---D | M] -- C:\IBMTOOLS [2012.01.03 15:40:46 | 000,000,000 | ---D | M] -- C:\Installl [2012.01.03 19:33:49 | 000,000,000 | ---D | M] -- C:\Malwarebytes [2012.01.03 17:16:17 | 000,000,000 | ---D | M] -- C:\Meine Downloads [2012.01.05 20:42:20 | 000,000,000 | R--D | M] -- C:\Programme [2012.01.03 19:28:09 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2011.12.23 15:52:22 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2008.12.31 13:29:02 | 000,000,000 | ---D | M] -- C:\Technische Unterlagen [2009.01.18 11:40:44 | 000,000,000 | ---D | M] -- C:\Terzio [2012.01.03 15:42:56 | 000,000,000 | ---D | M] -- C:\tmp [2011.12.05 10:21:53 | 000,000,000 | ---D | M] -- C:\unzipped [2012.01.03 20:40:48 | 000,000,000 | ---D | M] -- C:\Virenscanner [2012.01.07 17:58:45 | 000,000,000 | ---D | M] -- C:\WINDOWS [2012.01.07 17:40:40 | 000,000,000 | ---D | M] -- C:\WSKETCH2 < %PROGRAMFILES%\*.exe > [2005.01.21 04:23:20 | 000,045,056 | R--- | M] () -- C:\Programme\SetAttrib.exe Invalid Environment Variable: LOCALAPPDATA < %systemroot%\*. /mp /s > < %systemroot%\system32\*.manifest /3 > < MD5 for: AFD.SYS > [2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\dllcache\afd.sys [2011.08.17 14:49:54 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=1E44BC1E83D8FD2305F8D452DB109CF9 -- C:\WINDOWS\system32\drivers\afd.sys [2008.10.16 16:07:58 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=38D7B715504DA4741DF35E3594FE2099 -- C:\WINDOWS\$hf_mig$\KB2509553\SP3QFE\afd.sys [2011.02.16 14:25:05 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=8D499B1276012EB907E7A9E0F4D8FDA4 -- C:\WINDOWS\$hf_mig$\KB2503665\SP3QFE\afd.sys [2011.08.17 14:41:46 | 000,138,496 | ---- | M] (Microsoft Corporation) MD5=F6B7B1ECD7B41736BDB6FF4B092BCB79 -- C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys < MD5 for: EXPLORER.EXE > [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe [2008.04.14 13:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe < MD5 for: IPSEC.SYS > [2008.04.14 13:00:00 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\dllcache\ipsec.sys [2008.04.14 13:00:00 | 000,075,264 | ---- | M] (Microsoft Corporation) MD5=23C74D75E36E7158768DD63D92789A91 -- C:\WINDOWS\system32\drivers\ipsec.sys < MD5 for: REGEDIT.EXE > [2008.04.14 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\regedit.exe [2008.04.14 13:00:00 | 000,153,600 | ---- | M] (Microsoft Corporation) MD5=AD9226BF3CED13636083BB9C76E9D2A2 -- C:\WINDOWS\system32\dllcache\regedit.exe < MD5 for: USERINIT.EXE > [2008.04.14 13:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe [2008.04.14 13:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2011.12.24 17:50:20 | 000,182,856 | ---- | M] () MD5=B382935AB01B27D0E14F267DBF288896 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe [2008.04.14 13:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe [2008.04.14 13:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems|Windows /rs > HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Kmode: %SystemRoot%\system32\win32k.sys [2011.11.23 15:40:13 | 001,859,712 | ---- | M] (Microsoft Corporation) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Required: DebugWindows [binary data] HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems\\Windows: %SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16 < HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU > < HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs > HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install\\LastSuccessTime: 2012-01-05 20:15:39 < End of report > EXTRA Log OTL Logfile: Code:
ATTFilter OTL Extras logfile created on: 07.01.2012 17:58:15 - Run 1
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Dokumente und Einstellungen\Admin\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
1022,96 Mb Total Physical Memory | 382,70 Mb Available Physical Memory | 37,41% Memory free
2,40 Gb Paging File | 1,93 Gb Available in Paging File | 80,34% Paging File free
Paging file location(s): C:\pagefile.sys 1533 1600 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,53 Gb Total Space | 32,24 Gb Free Space | 43,26% Space Free | Partition Type: NTFS
Computer Name: PC-GIEBE | User Name: Admin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
========== Extra Registry (SafeList) ==========
========== File Associations ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.html [@ = htmlfile] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome
.url [@ = InternetShortcut] -- rundll32.exe shdocvw.dll,OpenURL %l
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = htmlfile] -- Reg Error: Key error. File not found
========== Shell Spawning ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome
htmlfile [opennew] -- "C:\Program Files\Internet Explorer\iexplore.exe" %1
htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)
http [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome
https [open] -- "C:\Program Files\Internet Explorer\iexplore.exe" -nohome
InternetShortcut [open] -- rundll32.exe shdocvw.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
========== Security Center Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"UpdatesDisableNotify" = 0
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
========== System Restore Settings ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
========== Firewall Settings ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNet:Disabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNet:Disabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
========== Authorized Applications List ==========
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Programme\VideoLAN\VLC\vlc.exe" = C:\Programme\VideoLAN\VLC\vlc.exe:*:Disabled:VLC media player -- ()
"C:\Programme\Google\Google Earth\client\googleearth.exe" = C:\Programme\Google\Google Earth\client\googleearth.exe:*:Enabled:Google Earth -- (Google)
"C:\Programme\Siemens\LOGOComfort_V7\jre\bin\javaw.exe" = C:\Programme\Siemens\LOGOComfort_V7\jre\bin\javaw.exe:*:Enabled:Java(TM) Platform SE binary -- (Sun Microsystems, Inc.)
========== HKEY_LOCAL_MACHINE Uninstall List ==========
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00010407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 SR-1 Professional
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{007F778D-F15C-4EAB-AE92-071D21FAF632}" = Adobe Photoshop Elements 9
"{08D2E121-7F6A-43EB-97FD-629B44903403}" = Microsoft_VC90_CRT_x86
"{0FB261F3-6F16-43FD-A404-F377C169B937}" = Madagascar (TM)
"{15803703-25FA-4C01-A062-3F4A59937E87}" = Ulead PhotoImpact X3
"{16D0F2D2-242C-4885-BEF1-4B1655C141AE}" = Bing Bar
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216011FF}" = Java(TM) 6 Update 13
"{3248F0A8-6813-11D6-A77B-00B0D0160020}" = Java(TM) 6 Update 2
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{38C9BDE0-59DB-4DE0-B4C9-AB2A6258108C}" = Löwenzahn 1
"{39AF5C9F-9673-438F-BBF9-47690B989F7F}" = QuickSteuer 2012
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3D289CAC-AD9F-45d9-9D36-524EB7B6C958}" = Lenovo Hard Drive Quick Test
"{3D339202-76E6-4815-89D0-B59A8654B812}" = Loewenzahn 2
"{406A89D6-09E6-4550-B370-8D376DDB56BE}" = Adobe Flash Player 10 ActiveX
"{433EACD8-4747-4A6A-826A-FFA9F39B0D40}" = Elements 9 Organizer
"{49D41303-D839-40B5-9244-EED5C93C1EA0}" = Loewenzahn Lexikon
"{4CF29999-1BB0-42B2-99BB-3A34507F9E3B}" = Steuer Update 15.01
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{66E375C5-CF5E-4706-B23B-93B52DB754BB}" = AutoSketch Release 8
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{71C97545-E547-4A8B-B0C8-61FF853270AC}" = PaperPort
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{79E0927E-6347-495F-83C1-92B0AB252B07}" = Barbie(TM) in Die 12 tanzenden Prinzessinnen
"{7A92A322-1A10-4153-B551-D547AA9B4649}" = Sweeties
"{7CFC17CE-0A66-46B0-BA57-BF8AB674BF5C}" = Loewenzahn 6
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics 2 Driver
"{92D58719-BBC1-4CC3-A08B-56C9E884CC2C}" = Microsoft_VC80_CRT_x86
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A4D7B764-4140-11D4-88EB-0050DA3579C0}" = Nero - Burning Rom
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{A9CCF5C3-4E30-42E6-992F-3D257B01E292}" = Loewenzahn 3
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.1) - Deutsch
"{AE9E39ED-A41A-40D4-B4CD-858A6E41D881}" = Loewenzahn 4
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{BD32EF4C-B66F-41A8-92BB-C02EF9029310}" = ESET NOD32 Antivirus
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D1A19B02-817E-4296-A45B-07853FD74D57}" = Microsoft_VC80_MFC_x86
"{D5C8E140-6E6F-11DD-9AA9-0050560400B1}" = Haufe iDesk-Service
"{D92BBB52-82FF-42ED-8A3C-4E062F944AB7}" = Microsoft_VC80_MFCLOC_x86
"{DE470016-1C64-11D5-982A-0050DA602C65}" = Löwenzahn 5
"{DFE311BB-9AB2-4A27-A7A9-FA95F058BC80}" = Deep Silver
"{E2AE009D-37E5-4724-A6B8-0ED6A6BA4F68}" = Elements STI Installer
"{E7004147-2CCA-431C-AA05-2AB166B9785D}" = QuickTime
"{E7B54F8B-FC06-4F01-AB11-CE37F1D93B81}" = PEARL PrintProfi Etiketten
"{EAB938C1-1193-465A-8E19-680654405477}" = STK017_V2.01
"{F04D6A72-92D3-44FB-9005-A89065245E33}" = Steuer Update 15.01
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F0F563C4-D4AD-41C4-A8A6-26664C027D11}" = Brother MFL-Pro Suite
"{F302F4F0-588D-6501-1ACF-BE3FDCC9135D}" = Adobe Community Help
"{F3C2ECAA-1B4D-4B75-9105-106B0D03EF02}" = Lexware Info Service
"{F48AAE0F-52F4-11DD-B1F7-0050560400B1}" = Haufe iDesk-Browser
"{FDB3B167-F4FA-461D-976F-286304A57B2A}" = Adobe AIR
"Adobe AIR" = Adobe AIR
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Photoshop Elements 9" = Adobe Photoshop Elements 9
"Advanced Backup Manager" = Advanced Backup Manager
"AdventuresofSheepy" = AdventuresofSheepy (remove only)
"Amazon MP3-Downloader" = Amazon MP3-Downloader 1.0.9
"Ashampoo Magical Snap 2_is1" = Ashampoo Magical Snap 2.51
"Ashampoo Snap 4_is1" = Ashampoo Snap 4 v.4.3.0
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.12 (Unicode)
"BlockTreepy_is1" = BlockTreepy
"CanonMyPrinter" = Canon My Printer
"CCleaner" = CCleaner
"chc.4875E02D9FB21EE389F73B8D1702B320485DF8CE.1" = Adobe Community Help
"Diamantenfee 2" = Diamantenfee 2
"Diamantenfee Special" = Diamantenfee Special
"DSGPlayer" = DEUTSCHLAND SPIELT GAME CENTER
"ElsterFormular für Privatanwender 12.1.0.6164p" = ElsterFormular für Privatanwender
"FormatFactory" = FormatFactory 2.50
"Free Video Dub_is1" = Free Video Dub version 1.7
"Glary Utilities_is1" = Glary Utilities 2.20.0.831
"Google Updater" = Google Updater
"ie8" = Windows Internet Explorer 8
"InstallShield_{0FB261F3-6F16-43FD-A404-F377C169B937}" = Madagascar
"LOGO!Soft Comfort V1.0" = LOGO!Soft Comfort V1.0
"LOGO!Soft Comfort V3.1 Upgrade" = LOGO!Soft Comfort V3.1 Upgrade
"LOGO!Soft Comfort V4.0" = LOGO!Soft Comfort V4.0
"LOGO!Soft Comfort V5.0" = LOGO!Soft Comfort V5.0
"LOGO!Soft Comfort V7.0 " = LOGO!Soft Comfort V7.0
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.0.1800
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Mozilla Firefox 9.0.1 (x86 de)" = Mozilla Firefox 9.0.1 (x86 de)
"MyAshampoo Toolbar" = MyAshampoo Toolbar
"NVIDIA Drivers" = NVIDIA Drivers
"PC-Kaufmann Handwerkspaket" = PC-Kaufmann Handwerkspaket
"Peggle Deluxe" = Peggle Deluxe
"Picasa 3" = Picasa 3
"PROSet" = Intel(R) PRO Network Adapters and Drivers
"VLC media player" = VLC media player 0.9.9
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WinGimp-2.0_is1" = GIMP 2.6.11
"WinZip" = WinZip
========== Last 10 Event Log Errors ==========
[ Application Events ]
Error - 22.12.2011 03:10:10 | Computer Name = PC-GIEBE | Source = WmiAdapter | ID = 4099
Description = Dienst konnte nicht geöffnet werden.
Error - 22.12.2011 03:33:10 | Computer Name = PC-GIEBE | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung services.exe, Version 5.1.2600.5755, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x0181c0c0.
Error - 22.12.2011 03:53:33 | Computer Name = PC-GIEBE | Source = MsiInstaller | ID = 11704
Description = Product: Bing Bar -- Error 1704. An installation for ESET NOD32 Antivirus
is currently suspended. You must undo the changes made by that installation to
continue. Do you want to undo those changes?
Error - 30.12.2011 10:07:23 | Computer Name = PC-GIEBE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
zurückgegeben. .
Error - 30.12.2011 10:07:37 | Computer Name = PC-GIEBE | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
ist fehlgeschlagen mit dem Fehler: Der angegebene Server kann den angeforderten
Vorgang nicht ausführen. .
Error - 30.12.2011 14:18:56 | Computer Name = PC-GIEBE | Source = .NET Runtime Optimization Service | ID = 1103
Description = .NET Runtime Optimization Service (clr_optimization_v2.0.50727_32)
- Tried to start a service that wasn't the latest version of CLR Optimization service.
Will shutdown
Error - 03.01.2012 12:18:30 | Computer Name = PC-GIEBE | Source = Application Error | ID = 1000
Description = Fehlgeschlagene Anwendung iexplore.exe, Version 8.0.6001.18702, fehlgeschlagenes
Modul unknown, Version 0.0.0.0, Fehleradresse 0x063c2060.
Error - 03.01.2012 12:20:22 | Computer Name = PC-GIEBE | Source = EventSystem | ID = 4609
Description = Das COM+-Ereignissystem hat einen ungültigen Rückgabecode während
der internen Verarbeitung erkannt. HRESULT war 80070005 von Zeile 44 von d:\comxp_sp3\com\com1x\src\events\tier1\eventsystemobj.cpp.
Wenden Sie sich an den Microsoft-Produktsuppor
Error - 03.01.2012 12:20:22 | Computer Name = PC-GIEBE | Source = VSS | ID = 8193
Description = Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "CoCreateInstance"
ist ein unerwarteter Fehler aufgetreten. hr = 0x80040206.
Error - 03.01.2012 14:26:38 | Computer Name = PC-GIEBE | Source = Userenv | ID = 1505
Description = Das Profil konnte nicht erfolgreich geladen werden, aber Sie wurden
mit dem standardmäßigen Profil für das System angemeldet. Details - Das System
kann die angegebene Datei nicht finden.
[ System Events ]
Error - 05.01.2012 09:11:23 | Computer Name = PC-GIEBE | Source = Print | ID = 19
Description = Freigabe des Druckers fehlgeschlagen (+ 1722). Drucker Brother MFC-5500,
Freigabename Drucker.
Error - 05.01.2012 09:11:51 | Computer Name = PC-GIEBE | Source = Service Control Manager | ID = 7034
Description = Dienst "Virtual Disk Service" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 05.01.2012 09:12:01 | Computer Name = PC-GIEBE | Source = DCOM | ID = 10010
Description = Der Server "{4EB61BAC-A3B6-4760-9581-655041EF4D69}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
Error - 05.01.2012 14:20:33 | Computer Name = PC-GIEBE | Source = Print | ID = 6161
Description = Das Dokument Doc, im Besitz von Admin, konnte nicht auf dem Drucker
Brother MFC-5460CN Printer gedruckt werden. Datentyp: NT EMF 1.008. Größe der Warteschlangendatei
in Bytes: 31260672. Anzahl der gedruckten Bytes: 0. Gesamtanzahl der Seiten des
Dokuments: 1. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\PC-GIEBE. Vom
Druckprozessor zurückgelieferter Win32-Fehlercode: 2250 (0x8ca).
Error - 05.01.2012 15:31:15 | Computer Name = PC-GIEBE | Source = Print | ID = 6161
Description = Das Dokument Doc, im Besitz von Admin, konnte nicht auf dem Drucker
Canon iP3500 series gedruckt werden. Datentyp: NT EMF 1.008. Größe der Warteschlangendatei
in Bytes: 30998528. Anzahl der gedruckten Bytes: 30909464. Gesamtanzahl der Seiten
des Dokuments: 1. Anzahl der gedruckten Seiten: 0. Clientcomputer: \\PC-GIEBE.
Vom Druckprozessor zurückgelieferter Win32-Fehlercode: 13 (0xd).
Error - 05.01.2012 16:15:38 | Computer Name = PC-GIEBE | Source = NtServicePack | ID = 921877
Description = Die Windows XP KB2633171-Installation ist fehlgeschlagen. Ein interner
Fehler ist aufgetreten.
Error - 05.01.2012 16:15:39 | Computer Name = PC-GIEBE | Source = Windows Update Agent | ID = 20
Description = Installationsfehler: Die Installation des folgenden Updates ist mit
Fehler 0x8007054f fehlgeschlagen: Sicherheitsupdate für Windows XP (KB2633171)
Error - 07.01.2012 11:15:59 | Computer Name = PC-GIEBE | Source = Service Control Manager | ID = 7000
Description = Der Dienst "Acronis Scheduler2 Service" wurde aufgrund folgenden Fehlers
nicht gestartet: %%3
Error - 07.01.2012 11:16:30 | Computer Name = PC-GIEBE | Source = Service Control Manager | ID = 7034
Description = Dienst "Virtual Disk Service" wurde unerwartet beendet. Dies ist bereits
1 Mal passiert.
Error - 07.01.2012 11:16:51 | Computer Name = PC-GIEBE | Source = DCOM | ID = 10010
Description = Der Server "{4EB61BAC-A3B6-4760-9581-655041EF4D69}" konnte innerhalb
des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
< End of report >
defogger log defogger_disable by jpshortstuff (23.02.10.1) Log created at 18:18 on 07/01/2012 (Admin) Checking for autostart values... HKCU\~\Run values retrieved. HKLM\~\Run values retrieved. Checking for services/drivers... -=E.O.F=- Danach sind einige Verknüpfungen verschwunden! Vielen Dank schon mal für die Hilfe Holger Geändert von Holger72 (07.01.2012 um 20:43 Uhr) Grund: Formatierung |
|
09.01.2012, 11:49
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Olmarik.TDL4 Trojaner Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
__________________Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.
__________________ |
|
09.01.2012, 12:47
| #3 |
| | Olmarik.TDL4 Trojaner Hallo Arne,
__________________vielen Dank für Deine Hilfe! Nein es gibt keine älteren Logs als im ersten Beitrag. Ich habe gerade per Telefon einen neuen vollständigen Scan veranlasst. Ich werde heute Abend die neue Logdatei einstellen, wenn sie hilfreich ist. Früher habe ich immer das Programm Spybot S&D laufen lassen. Gruss aus der Mittagspause Holger |
|
09.01.2012, 14:07
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Olmarik.TDL4 Trojaner Führ bitte auch ESET aus, danach sehen wir weiter: ESET Online Scanner
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
09.01.2012, 14:25
| #5 |
| | Olmarik.TDL4 Trojaner Hallo Arne, hier das MAM Log vollständiger Scan von heute: Code:
ATTFilter Malwarebytes Anti-Malware 1.60.0.1800 www.malwarebytes.org Datenbank Version: v2012.01.09.04 Windows XP Service Pack 3 x86 NTFS Internet Explorer 8.0.6001.18702 Admin :: PC-GIEBE [Administrator] 09.01.2012 12:27:13 mbam-log-2012-01-09 (12-27-13).txt Art des Suchlaufs: Vollständiger Suchlauf Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM Deaktivierte Suchlaufeinstellungen: P2P Durchsuchte Objekte: 322986 Laufzeit: 1 Stunde(n), 27 Minute(n), 7 Sekunde(n) Infizierte Speicherprozesse: 0 (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: 0 (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: 0 (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: 0 (Keine bösartigen Objekte gefunden) Infizierte Dateien: 0 (Keine bösartigen Objekte gefunden) (Ende) Gruss Holger |
|
11.01.2012, 19:35
| #6 |
| | Olmarik.TDL4 Trojaner Hallo Arne, Code:
ATTFilter AESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=156c4c6876a58a49b208155201c39d79
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-10 11:04:06
# local_time=2012-01-11 12:04:06 (+0100, Westeuropäische Normalzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=8204 43351381 100 92 11187 13329971 0 0
# scanned=141253
# found=0
# cleaned=0
# scan_time=10386
# nod_component=V3 Build:0x30000000
Gruss Holger |
|
11.01.2012, 20:06
| #7 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Olmarik.TDL4 Trojaner Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten. Wird so gemacht: [code] hier steht das Log [/code] Und das ganze sieht dann so aus: Code:
ATTFilter hier steht das Log
Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop
Code:
ATTFilter netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
__________________ Logfiles bitte immer in CODE-Tags posten |
|
13.01.2012, 14:58
| #8 |
| | Olmarik.TDL4 Trojaner Hallo Arne, geht leider nicht mehr. Mein Herr Vater hat jemand von einer PC Firma aus dem Ort da gehabt. Der hat wohl den MBR überschrieben, allerdings war danach die HDD nur noch im BIOS zu finden. Jetzt steht wohl die Entscheidung an Low Level Format oder neue HDD. Von mir Danke für die Hilfe. Ich habe auf jeden Fall noch einiges dazu gelernt.  Holger |
|
13.01.2012, 16:14
| #9 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Olmarik.TDL4 TrojanerZitat:
 Bevor man radikal den MBR löscht muss man unbedingt alle Daten sichern bzw. auch den MBR! Zitat:
Falls du meinst: die Platte einmal komplett mit Nullen überschreiben, ja das geht, das ist aber KEIN LLF! Und nur weil ein MBR und damit auch die Partitionstaballe vernichtet wurde, braucht man die Platte nicht komplett mit Nullen zu füllen. Es reicht ein neue Partitionierung und das Formatieren dieser neu erstellten Partitionen. Mit etwas Glück lässt sich der MBR auch restaurieren, aber ich weiß nicht was der Firmen"Experte" da wie genau gemacht hat 
__________________ Logfiles bitte immer in CODE-Tags posten |
|
16.01.2012, 13:45
| #10 | |
| | Olmarik.TDL4 TrojanerZitat:
ja so ist das wenn die Eltern nicht auch mal auf die Kinder hören können. Was der "Experte" gemacht weis ich auch nicht so genau, da ich nicht dabei war. Auf jeden Fall ist das Thema für mich damit durch. Ab zur  Maschine!Gruss Holger |
|
| Themen zu Olmarik.TDL4 Trojaner |
| 0x00000001, adobe, antivirus, aufrufe, beseitigung, bho, bingbar, conduit, dateisystem, downloader, error, eset nod32, firefox, format, google earth, helper, heuristiks/extra, heuristiks/shuriken, home, homepage, iexplore.exe, installation, kaspersky, lenovo, logfile, mozilla thunderbird, msiinstaller, object, plug-in, registry, required, rundll, safer networking, scan, security, services.exe, softonic, software, svchost.exe, trojane, trojaner, udp, unerwarteter fehler, version=1.0, win32/olmasco.o, win32k.sys, windows internet, youtube downloader |
Textbox von OTL - wenn OTL auf deutsch ist wird sie mit 
beschriftet
.
Linear-Darstellung
