FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid

RobinSword · 27.01.2012, 13:44

Hallo zusammen!

Ich habe hier den Laptop eines Mädels, das sich trotz installiertem AVG 9.0 mit aktuellen Signaturen offensichtlich mehrere Trojaner eingefangen hat.

Symptome:
- Schwarzer Desktop, alle Icons verschwunden
- Dateien von C verschwunden (versteckt)
- Viele Meldungen, dass angeblich die HDD defekt wäre und weitere "kritische Systemwarnungen"
- Sehr viele gleiche Meldeboxen

Was ich schon getan habe:
- Scan mit FakeAntivirus, Stinger, MS Security Essentials
--> Die im Betreff genannten Trojaner wurden gefunden und entfernt
- unhide.exe ausgeführt, um Icons und Dateien wieder sichtbar zu machen
- Systemwiederherstellung deaktiviert, da sich Trojaner da ja gern drin verstecken. Es war auffälligerweise auch nur ein einziger Wiederherstellungspunkt mit dem Datum der Infektion dort zu sehen.

Die Symptome sind also verschwunden, nun will ich aber sicherstellen, dass die Viecher auch wirklich komplett unten sind.

Bin auf dieses Forum gestoßen und wollte nun OTL ausführen und die Logfiles hier posten.
Allerdings bringt OTL nach ein paar Minuten scannen die Meldung "Out of Memory".
In der Statusleiste steht zu diesem Zeitpunkt "Manual File Scan - Getting folder structure".

Ne Idee wie ich das Fixprogramm fixen kann?

Vielen Dank schon mal!
Robin

cosinus · 27.01.2012, 14:07

Zitat:

das sich trotz installiertem AVG 9.0 mit aktuellen Signaturen offensichtlich mehrere Trojaner eingefangen hat.

Wieso "trotz"?
Virenscanner erkennen nicht alle Schädlinge, also kann es kein Wunder sein, dass auch bei aktivem Virenscanner Infektionen möglich sind.

Ohne die Logs von AVG wird das hier aber nichts.

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

RobinSword · 27.01.2012, 14:15

Der AVG ist schon komplett deinstalliert.
Aber ich könnte die Logfiles von Microsoft Security Essentials bereitstellen. Welche Dateien benötigt ihr und wo befinden sie sich genau?

Mein aktuelles Problem ist aber die Out of Memory-Meldung von OTL.
Denn ohne OTL geht hier ja auch nichts.
Habe mich an das Vorgehen im "Hilfesuchenden"-Thread gehalten und komme jetzt eben bei Punkt 2, Schritt 2 nicht weiter.

cosinus · 27.01.2012, 14:29

Dann poste erstmal alles von MSE

RobinSword · 27.01.2012, 14:37

Ok, hier das MPDetection-Logfile vom MSE:

Code:

ATTFilter

2012-01-26T17:02:57.833Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)
2012-01-26T17:03:00.938Z Version: Product 3.0.8402.0 Service 3.0.8402.0 Engine 0.0.0.0 AS 0.0.0.0 AV 0.0.0.0
2012-01-26T17:03:07.692Z Service stopped with exit code 0x0
2012-01-26T17:03:12.747Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)
2012-01-26T17:03:13.028Z Version: Product 3.0.8402.0 Service 3.0.8402.0 Engine 0.0.0.0 AS 0.0.0.0 AV 0.0.0.0
2012-01-26T17:05:01.729Z Service stopped with exit code 0x0
2012-01-26T17:05:58.063Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)
2012-01-26T17:06:01.511Z Version: Product 3.0.8402.0 Service 3.0.8402.0 Engine 0.0.0.0 AS 0.0.0.0 AV 0.0.0.0
2012-01-26T17:10:32.717Z Service stopped with exit code 0x0
2012-01-26T17:11:21.202Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)
2012-01-26T17:11:25.118Z Version: Product 3.0.8402.0 Service 3.0.8402.0 Engine 0.0.0.0 AS 0.0.0.0 AV 0.0.0.0
2012-01-26T17:22:40.446Z Version: Product 3.0.8402.0 Service 3.0.8402.0 Engine 1.1.8001.0 AS 1.119.686.0 AV 1.119.686.0
2012-01-26T17:23:32.519Z DETECTION Trojan:Win32/FakeSysdef file:C:\ProgramData\XapxUnRSMme.exe->(UPX)
2012-01-26T17:24:55.480Z DETECTION Trojan:Win32/FakeSysdef file:C:\ProgramData\XapxUnRSMme.exe->(UPX)
2012-01-26T17:25:21.548Z DETECTION Trojan:Win32/FakeSysdef file:c:\users\robby\AppData\Roaming\microsoft\internet explorer\quick launch\system check.lnk
2012-01-26T17:25:21.548Z DETECTION Trojan:Win32/FakeSysdef file:c:\users\robby\Desktop\system check.lnk
2012-01-26T17:27:08.970Z Service stopped with exit code 0x0
2012-01-26T17:28:30.072Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)
2012-01-26T17:28:41.709Z Version: Product 3.0.8402.0 Service 3.0.8402.0 Engine 1.1.8001.0 AS 1.119.686.0 AV 1.119.686.0
2012-01-26T18:02:36.872Z DETECTION Trojan:Win32/FakeSysdef file:C:\ProgramData\C6GTpKc8Lp60Vh.exe->(UPX)
2012-01-26T18:03:41.097Z DETECTION TrojanDownloader:Win32/Karagany.I file:C:\Users\ROBBY\AppData\Local\Temp\fka0.04697858258861498.exe
2012-01-26T18:03:42.299Z DETECTION TrojanDropper:Win32/Bamital.AJ file:C:\Users\ROBBY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6CDUOV0H\22[1].exe->(UPX)
2012-01-26T18:13:44.865Z DETECTION TrojanDownloader:Win32/Karagany.I file:C:\Users\ROBBY\AppData\Local\Temp\fka0.04697858258861498.exe
2012-01-26T18:42:25.720Z DETECTION TrojanDropper:Win32/Bamital.AJ file:C:\Users\Public\Documents\19792079->(UPX)
2012-01-26T22:54:00.600Z DETECTION Rogue:Win32/Defmid file:C:\Users\ROBBY\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6CDUOV0H\11[1].exe->(nsis-1-cIFJS_UW.dll)->(UPX)
2012-01-26T22:54:00.600Z DETECTION Rogue:Win32/Defmid file:C:\Users\ROBBY\AppData\Local\Temp\5ABA.tmp->(nsis-1-cIFJS_UW.dll)->(UPX)
2012-01-26T22:54:00.663Z DETECTION TrojanDownloader:Win32/Karagany.I file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\1\7136d501-17567a60
2012-01-26T22:54:00.663Z DETECTION TrojanDownloader:Win32/Karagany.I file:C:\Users\ROBBY\AppData\Local\Temp\mos0.9939535133548044.exe
2012-01-26T22:54:00.678Z DETECTION Exploit:Java/CVE-2009-3869.M file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\78d6980a-34c4ac97->vmain.class
2012-01-26T22:54:00.678Z DETECTION Exploit:Java/CVE-2009-3869.M file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\5541aec4-18aedaac->vmain.class
2012-01-26T22:54:00.678Z DETECTION Exploit:Java/CVE-2009-3869.M file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\640c67b5-4a46e3e5->vmain.class
2012-01-26T22:54:00.678Z DETECTION Exploit:Java/CVE-2009-3869.M file:D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 014046\Backup files 2.zip->C\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\78d6980a-34c4ac97->vmain.class
2012-01-26T22:54:00.678Z DETECTION Exploit:Java/CVE-2009-3869.M file:D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 014046\Backup files 2.zip->C\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\5541aec4-18aedaac->vmain.class
2012-01-26T22:54:00.678Z DETECTION Exploit:Java/CVE-2009-3869.M file:D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 014046\Backup files 2.zip->C\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\640c67b5-4a46e3e5->vmain.class
2012-01-26T22:54:00.694Z DETECTION Exploit:Java/CVE-2008-5353.KM file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\30feb821-786f1363->________vload.class
2012-01-26T22:54:00.694Z DETECTION Exploit:Java/CVE-2008-5353.KM file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\5473416c-2c2327c4->________vload.class
2012-01-26T22:54:00.694Z DETECTION Exploit:Java/CVE-2008-5353.KM file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\3f5641c8-28e8f5f8->________vload.class
2012-01-26T22:54:00.694Z DETECTION Exploit:Java/CVE-2008-5353.KM file:D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 014046\Backup files 2.zip->C\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\30feb821-786f1363->________vload.class
2012-01-26T22:54:00.694Z DETECTION Exploit:Java/CVE-2008-5353.KM file:D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 014046\Backup files 2.zip->C\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\5473416c-2c2327c4->________vload.class
2012-01-26T22:54:00.694Z DETECTION Exploit:Java/CVE-2008-5353.KM file:D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 014046\Backup files 2.zip->C\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\3f5641c8-28e8f5f8->________vload.class
2012-01-26T22:54:00.694Z DETECTION Exploit:Java/CVE-2008-5353.OM file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\30feb821-786f1363->vmain.class
2012-01-26T22:54:00.694Z DETECTION Exploit:Java/CVE-2008-5353.OM file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\5473416c-2c2327c4->vmain.class
2012-01-26T22:54:00.694Z DETECTION Exploit:Java/CVE-2008-5353.OM file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\3f5641c8-28e8f5f8->vmain.class
2012-01-26T22:54:00.694Z DETECTION Exploit:Java/CVE-2008-5353.OM file:D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 014046\Backup files 2.zip->C\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\30feb821-786f1363->vmain.class
2012-01-26T22:54:00.694Z DETECTION Exploit:Java/CVE-2008-5353.OM file:D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 014046\Backup files 2.zip->C\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\5473416c-2c2327c4->vmain.class
2012-01-26T22:54:00.710Z DETECTION Exploit:Java/CVE-2008-5353.OM file:D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 014046\Backup files 2.zip->C\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\8\3f5641c8-28e8f5f8->vmain.class
2012-01-26T22:54:00.710Z DETECTION Exploit:Java/CVE-2009-3867.GC file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\556445eb-2bf67551->vmain.class
2012-01-26T22:54:00.710Z DETECTION Exploit:Java/CVE-2009-3867.GC file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\40591084-29021062->vmain.class
2012-01-26T22:54:00.710Z DETECTION Exploit:Java/CVE-2009-3867.GC file:C:\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\31bba1f4-3b136cfd->vmain.class
2012-01-26T22:54:00.710Z DETECTION Exploit:Java/CVE-2009-3867.GC file:D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 014046\Backup files 2.zip->C\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\556445eb-2bf67551->vmain.class
2012-01-26T22:54:00.710Z DETECTION Exploit:Java/CVE-2009-3867.GC file:D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 014046\Backup files 2.zip->C\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\40591084-29021062->vmain.class
2012-01-26T22:54:00.710Z DETECTION Exploit:Java/CVE-2009-3867.GC file:D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 014046\Backup files 2.zip->C\Users\ROBBY\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\52\31bba1f4-3b136cfd->vmain.class
2012-01-26T23:02:09.786Z Service stopped with exit code 0x0
2012-01-26T23:03:14.851Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)
2012-01-26T23:03:40.669Z Version: Product 3.0.8402.0 Service 3.0.8402.0 Engine 1.1.8001.0 AS 1.119.686.0 AV 1.119.686.0
2012-01-27T09:29:59.888Z Service stopped with exit code 0x0
2012-01-27T09:31:04.632Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)
2012-01-27T09:31:14.429Z Version: Product 3.0.8402.0 Service 3.0.8402.0 Engine 1.1.8001.0 AS 1.119.686.0 AV 1.119.686.0
2012-01-27T12:04:00.695Z Service stopped with exit code 0x0
2012-01-27T12:05:30.630Z Service started - Microsoft Security Essentials (EDB4FA23-53B8-4AFA-8C5D-99752CCA7094)
2012-01-27T12:05:33.266Z Version: Product 3.0.8402.0 Service 3.0.8402.0 Engine 1.1.8001.0 AS 1.119.686.0 AV 1.119.686.0

cosinus · 27.01.2012, 15:22

Bitte nun routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

RobinSword · 27.01.2012, 18:17

So, hier das Malwarebytes-Logfile:

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.27.03

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
ROBBY :: MARYPC [Administrator]

Schutz: Aktiviert

27.01.2012 16:49:11
mbam-log-2012-01-27 (16-49-11).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 395926
Laufzeit: 50 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 157
HKCR\CLSID\{00A6FAF6-072E-44cf-8957-5838F569A31D} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF6-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{07B18EA0-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{07B18EAA-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearchToolBar.SettingsPlugin.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearchToolBar.SettingsPlugin (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{0F8ECF4F-3646-4C3A-8881-8E138FFCAF70} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{8CA01F0E-987C-49C3-B852-2F1AC4A7094C} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{1093995A-BA37-41D2-836E-091067C4AD17} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.IECookiesManager.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.IECookiesManager (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{1E0DE227-5CE4-4ea3-AB0C-8B03E1AA76BC} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{25560540-9571-4D7B-9389-0F166788785A} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{C8CECDE3-1AE1-4C4A-AD82-6D5B00212144} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{17DE5E5E-BFE3-4E83-8E1F-8755795359EC} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.DataControl.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.DataControl (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4D7B-9389-0F166788785A} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{E47CAEE0-DEEA-464A-9326-3F2801535A4D} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{3E1656ED-F60E-4597-B6AA-B6A58E171495} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.HTMLMenu.2 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.HTMLMenu (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{3E720452-B472-4954-B7AA-33069EB53906} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{3E720450-B472-4954-B7AA-33069EB53906} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{3E720451-B472-4954-B7AA-33069EB53906} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearch.HTMLPanel.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearch.HTMLPanel (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3E720452-B472-4954-B7AA-33069EB53906} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3E720452-B472-4954-B7AA-33069EB53906} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{53CED2D0-5E9A-4761-9005-648404E6F7E5} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearchToolBar.ToolbarPlugin.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearchToolBar.ToolbarPlugin (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{8E6F1830-9607-4440-8530-13BE7C4B1D14} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{63D0ED2B-B45B-4458-8B3B-60C69BBBD83C} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.PopSwatterSettingsControl.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.PopSwatterSettingsControl (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{7473D292-B7BB-4f24-AE82-7E2CE94BB6A9} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{7473D290-B7BB-4F24-AE82-7E2CE94BB6A9} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{7473D291-B7BB-4F24-AE82-7E2CE94BB6A9} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{7473D294-B7BB-4f24-AE82-7E2CE94BB6A9} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearch.PseudoTransparentPlugin.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearch.PseudoTransparentPlugin (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7473D294-B7BB-4F24-AE82-7E2CE94BB6A9} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{7473D296-B7BB-4f24-AE82-7E2CE94BB6A9} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{84DA4FDF-A1CF-4195-8688-3E961F505983} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{8E6F1832-9607-4440-8530-13BE7C4B1D14} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.PopSwatterBarButton.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.PopSwatterBarButton (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{938AA51A-996C-4884-98CE-80DD16A5C9DA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{29D67D3C-509A-4544-903F-C8C1B8236554} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{2E3537FC-CF2F-4F56-AF54-5A6A3DD375CC} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{98D9753D-D73B-42D5-8C85-4469CDA897AB} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.HTMLMenu.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98D9753D-D73B-42D5-8C85-4469CDA897AB} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{9FF05104-B030-46FC-94B8-81276E4E27DF} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ScreenSaverControl.ScreenSaverInstaller.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\ScreenSaverControl.ScreenSaverInstaller (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9FF05104-B030-46FC-94B8-81276E4E27DF} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9FF05104-B030-46FC-94B8-81276E4E27DF} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{A4730EBE-43A6-443e-9776-36915D323AD3} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{A9571378-68A1-443d-B082-284F960C6D17} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{ADB01E81-3C79-4272-A0F1-7B2BE7A782DC} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearch.OutlookAddin.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearch.OutlookAddin (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{B813095C-81C0-4E40-AA14-67520372B987} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.KillerObjManager.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.KillerObjManager (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{C9D7BE3E-141A-4C85-8CD6-32461F3DF2C7} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.HistoryKillerScheduler.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.HistoryKillerScheduler (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{CFF4CE82-3AA2-451F-9B77-7165605FB835} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.HistorySwatterControlBar.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.HistorySwatterControlBar (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{D9FFFB27-D62A-4D64-8CEC-1FF006528805} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{0D26BC71-A633-4E71-AD31-EADC3A1B6A3A} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25E} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{E79DFBCA-5697-4fbd-94E5-5B2A9C7C1612} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{E79DFBC0-5697-4FBD-94E5-5B2A9C7C1612} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{72EE7F04-15BD-4845-A005-D6711144D86A} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearch.ChatSessionPlugin.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearch.ChatSessionPlugin (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E79DFBCA-5697-4FBD-94E5-5B2A9C7C1612} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Typelib\{D518921A-4A03-425E-9873-B9A71756821E} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Typelib\{F42228FB-E84E-479E-B922-FBBD096E792C} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{6E74766C-4D93-4CC0-96D1-47B8E07FF9CA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45dd-9B68-D6A12C30E5D7} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{84DA4FDF-A1CF-4195-8688-3E961F505983} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{25560540-9571-4D7B-9389-0F166788785A} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{C8CECDE3-1AE1-4C4A-AD82-6D5B00212144} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{17DE5E5E-BFE3-4E83-8E1F-8755795359EC} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.DataControl.1 (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.DataControl (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4D7B-9389-0F166788785A} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.HTMLMenu.2 (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.HTMLMenu (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{E47CAEE0-DEEA-464A-9326-3F2801535A4D} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{3E1656ED-F60E-4597-B6AA-B6A58E171495} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{D9FFFB27-D62A-4D64-8CEC-1FF006528805} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{0D26BC71-A633-4E71-AD31-EADC3A1B6A3A} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{E342AF55-B78A-4CD0-A2BB-DA7F52D9D25E} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{8E6F1830-9607-4440-8530-13BE7C4B1D14} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{63D0ED2B-B45B-4458-8B3B-60C69BBBD83C} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.PopSwatterSettingsControl.1 (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\FunWebProducts.PopSwatterSettingsControl (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{D518921A-4A03-425E-9873-B9A71756821E} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{938AA51A-996C-4884-98CE-80DD16A5C9DA} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{29D67D3C-509A-4544-903F-C8C1B8236554} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{2E3537FC-CF2F-4F56-AF54-5A6A3DD375CC} (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{819FFE22-35C7-4925-8CDA-4E0E2DB94302} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\TypeLib\{819FFE20-35C7-4925-8CDA-4E0E2DB94302} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\Interface\{819FFE21-35C7-4925-8CDA-4E0E2DB94302} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{799391D3-EB86-4bac-9BD3-CBFEA58A0E15} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearch.MultipleButton.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearch.MultipleButton (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\CLSID\{D858DAFC-9573-4811-B323-7011A3AA7E61} (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearch.UrlAlertButton.1 (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCR\MyWebSearch.UrlAlertButton (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\FocusInteractive (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Fun Web Products (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Office\Outlook\Addins\MyWebSearch.OutlookAddin (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Office\Word\Addins\MyWebSearch.OutlookAddin (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Daten: ©Ž±#¥aI¶»
äG\Ê -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Daten:  -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows Media\WMSDK\Sources|f3PopularScreensavers (Adware.MyWebSearch) -> Daten: C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3SCRCTR.DLL -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform|FunWebProducts (Adware.MyWebSearch) -> Daten:  -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowSearch (PUM.Hijack.StartMenu) -> Bösartig: (0) Gut: (1) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 17
C:\Program Files (x86)\FunWebProducts (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\FunWebProducts\ScreenSaver (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\FunWebProducts\ScreenSaver\Images (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\1.bin (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\1.bin\chrome (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\chrome (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Avatar (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Game (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\History (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\icons (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Message (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Notifier (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Overlay (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Settings (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 76
C:\Program Files (x86)\Windows Live\Messenger\riched20.dll (PUP.FunWebProducts) -> Keine Aktion durchgeführt.
C:\Users\ROBBY\Desktop\ROBBY\BEWERBUNGEN u. SCHULSACHEN\DATEIEN SCHROTT\installer_ulead_photoimpact_x3_Deutsch.exe (PUP.SmsPay.PGen) -> Keine Aktion durchgeführt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3DTACTL.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3HTMLMU.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3HTML.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3POPSWT.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3SKIN.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3CJPEG.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3SCRCTR.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3OUTLCN.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3HTTPCT.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3MSG.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3REPROX.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\MWSOEPLG.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3CJPEG.DLL (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3DTACTL.DLL (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3HKSTUB.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3HTMLMU.DLL (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3HTTPCT.DLL (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3IMSTUB.DLL (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3POPSWT.DLL (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3REGHK.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3REPROX.DLL (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3RESTUB.DLL (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3SCRCTR.DLL (PUP.FunWebProducts) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3WPHOOK.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3AUXSTB.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3DLGHK.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3HIGHIN.EXE (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3IDLE.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3IMPIPE.EXE (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3MEDINT.EXE (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3PLUGIN.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3SKPLAY.EXE (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3SLSRCH.EXE (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\M3SRCHMN.EXE (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\MWSMLBTN.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\MWSOEMON.EXE (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\MWSOESTB.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\MWSSVC.EXE (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\MWSUABTN.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\NPMYWEBS.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\1.bin\chrome\M3FFXTBR.JAR (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\CHROME.MANIFEST (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3BKGERR.JPG (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3IMSTUB.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3RESTUB.DLL (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3SPACER.WMV (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\F3WALLPP.DAT (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\FWPBUDDY.PNG (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\INSTALL.RDF (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\2.bin\chrome\M3FFXTBR.JAR (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Avatar\COMMON.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Game\CHECKERS.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Game\CHESS.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Game\REVERSI.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\icons\CM.ICO (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\icons\MFC.ICO (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\icons\PSS.ICO (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\icons\SMILEY.ICO (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\icons\WB.ICO (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\icons\ZWINKY.ICO (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Message\COMMON.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Notifier\COMMON.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Notifier\DOG.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Notifier\FISH.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Notifier\KUNGFU.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Notifier\LIFEGARD.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Notifier\MAID.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Notifier\MAILBOX.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Notifier\OPERA.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Notifier\ROBOT.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Notifier\SEDUCT.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Notifier\SURFER.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Overlay\COMMON.F3S (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Program Files (x86)\MyWebSearch\bar\Settings\s_pid.dat (Adware.MyWebSearch) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Der ESET-Scan funktioniert auf dem infizierten Laptop allerdings nicht. Ich habe den IE8 als Admin geöffnet, hab das ActiveX-Control installieren lassen und gestartet. Es beginnt dann "Downloading virus signature database..." und genau hier hängt er dann bei 0%. Irgendwann bricht er ab und sagt "0 Threads found", allerdings auch "0 Scanned files".

Ich verstehe es nicht, die Internetverbindung steht, browsen funktioniert einwandfrei.

Vielen Dank für deine Mühe, Arne!

Ergänzung 18:49 Uhr: Ich habe festgestellt, dass die Windows Firewall deaktiviert ist. Wenn ich sie aktivieren möchte, kommt die Fehlermeldung: "Einige der Einstellungen können von der Windows-Firewall nicht geändert werden. Fehlercode 0x80070424". Und die Firewall bleibt deaktiviert. Offensichtlich hat also einer der Trojaner die Firewall kompromittiert. Vielleicht ist das der Grund, warum der Download der Signaturen nicht klappt? Aber nur die Vermutung eines Laiens...

RobinSword · 28.01.2012, 11:43

Also, um es nochmal auf den Punkt zu bringen, ich komme aktuell nicht weiter weil:
1. ich kein OTL-Logfile erstellen kann, da OTL eine "Out of Memory"-Fehlermeldung bringt
2. ich den ESET Online-Scan nicht durchführen kann, da die Signaturen nicht gedownloaded werden können

Für weitere Anweisungen, Lösungsvorschläge, Alternativen bin ich sehr dankbar!

Gruß,
Robin

RobinSword · 29.01.2012, 17:47

Ich habe es nun doch geschafft, den ESET Online Scan durchzuführen. Nachdem ich alle Internet Explorer Einstellungen zurückgesetzt habe, wurden die Signaturen downgeloaded und der Scan begann.

Hier nun das ESET-Logfile:

Code:

ATTFilter

# version=7
# iexplore.exe=8.00.7600.16385 (win7_rtm.090713-1255)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=387cf94655c71b43a9d920bcbf153670
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-29 01:37:47
# local_time=2012-01-29 02:37:47 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7600 NT 
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=5891 16776893 42 87 9475 24708561 0 0
# compatibility_mode=8192 67108863 100 0 157941 157941 0 0
# scanned=407983
# found=2
# cleaned=0
# scan_time=6575
C:\Program Files (x86)\Windows Live\Messenger\riched20.dll	Win32/Toolbar.MyWebSearch application (unable to clean)	00000000000000000000000000000000	I
D:\MARYPC\Backup Set 2010-08-16 014046\Backup Files 2010-08-16 115014\Backup files 1.zip	a variant of Win32/MessengerPlus application (unable to clean)	00000000000000000000000000000000	I

cosinus · 29.01.2012, 19:22

Probier bitte nochmal OTL. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

RobinSword · 29.01.2012, 19:49

Hab es nochmal probiert. Klappt nicht.
OTL bringt nach wie vor nach kurzer Zeit: "Out of Memory".

edit: Mit dem "Out of Memory"-Problem schein ich wohl nicht alleine zu sein. Das hier hat gerade noch einer gepostet.
www.trojaner-board.de/108738-externe-festplatte-enthaelt-nur-noch-verknuepfungen-cpu-auslastung.html

cosinus · 30.01.2012, 08:48

Dann probier es mal so:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt
Poste die Logfiles hier in den Thread.

RobinSword · 30.01.2012, 09:25

So hat's funktioniert!!

OTL.Txt:

Code:

ATTFilter

OTL logfile created on: 30.01.2012 09:04:45 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Users\ROBBY\Desktop
64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,86 Gb Total Physical Memory | 1,84 Gb Available Physical Memory | 64,36% Memory free
5,73 Gb Paging File | 4,56 Gb Available in Paging File | 79,70% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 58,59 Gb Total Space | 2,97 Gb Free Space | 5,08% Space Free | Partition Type: NTFS
Drive D: | 164,43 Gb Total Space | 92,23 Gb Free Space | 56,09% Space Free | Partition Type: NTFS
 
Computer Name: MARYPC | User Name: ROBBY | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\ROBBY\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
PRC - C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe (Creative Technology Ltd)
PRC - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
PRC - C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
PRC - C:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe ()
PRC - C:\Program Files (x86)\CyberLink\PowerDVD DX\PDVDDXSrv.exe (CyberLink Corp.)
PRC - C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe (SupportSoft, Inc.)
PRC - C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe (SupportSoft, Inc.)
PRC - C:\Programme\Dell\DellDock\DockLogin.exe (Stardock Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Windows\assembly\GAC_32\mscorlib\2.0.0.0__b77a5c561934e089\mscorlib.dll ()
MOD - C:\Windows\assembly\GAC_MSIL\System\2.0.0.0__b77a5c561934e089\System.dll ()
MOD - C:\Program Files (x86)\Common Files\Apple\Apple Application Support\zlib1.dll ()
MOD - C:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe ()
MOD - C:\Windows\assembly\GAC_MSIL\System.Xml\2.0.0.0__b77a5c561934e089\System.Xml.dll ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV:64bit: - (NisSrv) -- C:\Program Files\Microsoft Security Client\Antimalware\NisSrv.exe (Microsoft Corporation)
SRV:64bit: - (MsMpSvc) -- C:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe (Microsoft Corporation)
SRV:64bit: - (wltrysvc) -- C:\Program Files\Dell\Dell Wireless WLAN Card\WLTRYSVC.EXE ()
SRV - (MBAMService) -- C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe (Malwarebytes Corporation)
SRV - (clr_optimization_v4.0.30319_32) -- C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe (Microsoft Corporation)
SRV - (AERTFilters) -- C:\Programme\Realtek\Audio\HDA\AERTSr64.exe (Andrea Electronics Corporation)
SRV - (clr_optimization_v2.0.50727_32) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe (Microsoft Corporation)
SRV - (sprtsvc_DellSupportCenter) SupportSoft Sprocket Service (DellSupportCenter) -- C:\Program Files (x86)\Dell Support Center\bin\sprtsvc.exe (SupportSoft, Inc.)
SRV - (DockLoginService) -- C:\Programme\Dell\DellDock\DockLogin.exe (Stardock Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV:64bit: - (MBAMProtector) -- C:\Windows\SysNative\drivers\mbam.sys (Malwarebytes Corporation)
DRV:64bit: - (NisDrv) -- C:\Windows\SysNative\drivers\NisDrvWFP.sys (Microsoft Corporation)
DRV:64bit: - (amdsata) -- C:\Windows\SysNative\drivers\amdsata.sys (Advanced Micro Devices)
DRV:64bit: - (amdxata) -- C:\Windows\SysNative\drivers\amdxata.sys (Advanced Micro Devices)
DRV:64bit: - (CtClsFlt) -- C:\Windows\SysNative\drivers\CtClsFlt.sys (Creative Technology Ltd.)
DRV:64bit: - (Impcd) -- C:\Windows\SysNative\drivers\Impcd.sys (Intel Corporation)
DRV:64bit: - (igfx) -- C:\Windows\SysNative\drivers\igdkmd64.sys (Intel Corporation)
DRV:64bit: - (IntcDAud) Intel(R) -- C:\Windows\SysNative\drivers\IntcDAud.sys (Intel(R) Corporation)
DRV:64bit: - (HECIx64) Intel(R) -- C:\Windows\SysNative\drivers\HECIx64.sys (Intel Corporation)
DRV:64bit: - (ApfiltrService) -- C:\Windows\SysNative\drivers\Apfiltr.sys (Alps Electric Co., Ltd.)
DRV:64bit: - (RTL8167) -- C:\Windows\SysNative\drivers\Rt64win7.sys (Realtek                                            )
DRV:64bit: - (BCM43XX) -- C:\Windows\SysNative\drivers\BCMWL664.SYS (Broadcom Corporation)
DRV:64bit: - (RSUSBSTOR) -- C:\Windows\SysNative\drivers\RtsUStor.sys (Realtek Semiconductor Corp.)
DRV:64bit: - (BCM42RLY) -- C:\Windows\SysNative\drivers\bcm42rly.sys (Broadcom Corporation)
DRV:64bit: - (amdsbs) -- C:\Windows\SysNative\drivers\amdsbs.sys (AMD Technologies Inc.)
DRV:64bit: - (LSI_SAS2) -- C:\Windows\SysNative\drivers\lsi_sas2.sys (LSI Corporation)
DRV:64bit: - (HpSAMD) -- C:\Windows\SysNative\drivers\HpSAMD.sys (Hewlett-Packard Company)
DRV:64bit: - (stexstor) -- C:\Windows\SysNative\drivers\stexstor.sys (Promise Technology)
DRV:64bit: - (PxHlpa64) -- C:\Windows\SysNative\drivers\PxHlpa64.sys (Sonic Solutions)
DRV:64bit: - (ebdrv) -- C:\Windows\SysNative\drivers\evbda.sys (Broadcom Corporation)
DRV:64bit: - (b06bdrv) -- C:\Windows\SysNative\drivers\bxvbda.sys (Broadcom Corporation)
DRV:64bit: - (b57nd60a) -- C:\Windows\SysNative\drivers\b57nd60a.sys (Broadcom Corporation)
DRV:64bit: - (hcw85cir) -- C:\Windows\SysNative\drivers\hcw85cir.sys (Hauppauge Computer Works, Inc.)
DRV:64bit: - (GEARAspiWDM) -- C:\Windows\SysNative\drivers\GEARAspiWDM.sys (GEAR Software Inc.)
DRV:64bit: - (ManyCam) -- C:\Windows\SysNative\drivers\ManyCam_x64.sys (ManyCam LLC.)
DRV - (WIMMount) -- C:\Windows\SysWOW64\drivers\wimmount.sys (Microsoft Corporation)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/USCON/8
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://g.uk.msn.com/USCON/8
IE - HKLM\..\URLSearchHook:  - No CLSID value found
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/USCON/8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\..\URLSearchHook:  - No CLSID value found
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.0.60831.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.3: C:\Program Files (x86)\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WLPG,version=14.0.8117.0416: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@mywebsearch.com/Plugin: C:\Program Files (x86)\MyWebSearch\bar\2.bin\NPMyWebS.dll File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files (x86)\MyWebSearch\bar\2.bin
 
 
Hosts file not found
O2:64bit: - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssiea.dll File not found
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll File not found
O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files (x86)\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files (x86)\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {94FC3FB2-3E5C-4B8F-AAEE-17090CE800BC} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files (x86)\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKCU\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4:64bit: - HKLM..\Run: [Apoint] C:\Programme\DellTPad\Apoint.exe (Alps Electric Co., Ltd.)
O4:64bit: - HKLM..\Run: [Broadcom Wireless Manager UI] C:\Programme\Dell\Dell Wireless WLAN Card\WLTRAY.EXE (Dell Inc.)
O4:64bit: - HKLM..\Run: [HotKeysCmds] C:\Windows\SysNative\hkcmd.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [IgfxTray] C:\Windows\SysNative\igfxtray.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [MSC] C:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4:64bit: - HKLM..\Run: [Persistence] C:\Windows\SysNative\igfxpers.exe (Intel Corporation)
O4:64bit: - HKLM..\Run: [QuickSet] C:\Programme\Dell\QuickSet\quickset.exe (Dell Inc.)
O4:64bit: - HKLM..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [Dell Webcam Central] C:\Program Files (x86)\Dell Webcam\Dell Webcam Central\WebcamDell2.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [DellSupportCenter] C:\Program Files (x86)\Dell Support Center\bin\sprtcmd.exe (SupportSoft, Inc.)
O4 - HKLM..\Run: [Desktop Disc Tool] C:\Program Files (x86)\Roxio\Roxio Burn\RoxioBurnLauncher.exe ()
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [PDVDDXSrv] C:\Program Files (x86)\CyberLink\PowerDVD DX\PDVDDXSrv.exe (CyberLink Corp.)
O4 - HKLM..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKCU..\Run: [EPSON Stylus Photo RX560 Series] C:\Windows\system32\spool\DRIVERS\x64\3\E_FATIBPE.EXE /FU "C:\Users\ROBBY\AppData\Local\Temp\E_SB31.tmp" /EF "HKCU" File not found
O4 - HKLM..\RunOnce: [AvgUninstallURL] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
O4 - Startup: C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dell Dock.lnk =  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MIF5BA~1\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MIF5BA~1\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files (x86)\ICQ7.1\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Program Files (x86)\ICQ7.1\ICQ.exe (ICQ, LLC.)
O9 - Extra Button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MIF5BA~1\OFFICE11\REFIEBAR.DLL (Microsoft Corporation)
O10:64bit: - NameSpace_Catalog5\Catalog_Entries64\000000000007 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files (x86)\Bonjour\mdnsNSP.dll (Apple Inc.)
O1364bit: - gopher Prefix: missing
O13 - gopher Prefix: missing
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} hxxp://messenger.zone.msn.com/MessengerGamesContent/GameContent/de/mjss/MJSS.cab109791.cab ()
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} hxxp://ccfiles.creative.com/Web/softwareupdate/su/ocx/15101/CTSUEng.cab (Creative Software AutoUpdate)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} hxxp://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab (MessengerStatsClient Class)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab (Java Plug-in 1.6.0_16)
O16 - DPF: {D4B68B83-8710-488B-A692-D74B50BA558E} hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15113/CTPIDPDE.cab (Creative Software AutoUpdate Support Package 2)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} hxxp://ccfiles.creative.com/Web/softwareupdate/ocx/15114/CTPID.cab (Creative Software AutoUpdate Support Package 1)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{01FA2407-0488-41CC-B159-7E64B212E335}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{90B9F14F-7D35-4817-816A-DE544A5A972B}: DhcpNameServer = 10.1.0.1 10.1.0.2
O18:64bit: - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG9\avgppa.dll File not found
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\0x00000001 - No CLSID value found
O18:64bit: - Protocol\Handler\msdaipp\oledb - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\ms-itss - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\mso-offdap - No CLSID value found
O18:64bit: - Protocol\Handler\mso-offdap11 - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\linkscanner {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG9\avgpp.dll File not found
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program Files (x86)\Common Files\SYSTEM\OLE DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~2\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL (Skype Technologies)
O18:64bit: - Protocol\Filter\text/xml - No CLSID value found
O20:64bit: - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\SysNative\userinit.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\SysNative\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) -C:\Windows\SysWow64\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) -C:\Windows\SysWOW64\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O20:64bit: - Winlogon\Notify\igfxcui: DllName - (igfxdev.dll) - C:\Windows\SysNative\igfxdev.dll (Intel Corporation)
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35:64bit: - HKLM\..comfile [open] -- "%1" %*
O35:64bit: - HKLM\..exefile [open] -- "%1" %*
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37:64bit: - HKLM\...com [@ = comfile] -- "%1" %*
O37:64bit: - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.01.29 11:11:27 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Apple Software Update
[2012.01.27 17:55:50 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\ESET
[2012.01.27 16:42:43 | 000,000,000 | ---D | C] -- C:\Users\ROBBY\AppData\Roaming\Malwarebytes
[2012.01.27 16:42:37 | 000,023,152 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\SysNative\drivers\mbam.sys
[2012.01.27 16:42:37 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Malwarebytes' Anti-Malware
[2012.01.27 16:42:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.01.27 16:39:12 | 000,000,000 | ---D | C] -- C:\ProgramData\MFAData
[2012.01.27 16:24:31 | 001,446,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\lsasrv.dll
[2012.01.27 16:24:31 | 000,395,776 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\webio.dll
[2012.01.27 16:24:31 | 000,314,368 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\webio.dll
[2012.01.27 16:24:31 | 000,136,192 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\sspicli.dll
[2012.01.27 16:24:31 | 000,028,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\sspisrv.dll
[2012.01.27 16:24:31 | 000,028,160 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\secur32.dll
[2012.01.27 13:16:29 | 000,584,192 | ---- | C] (OldTimer Tools) -- C:\Users\ROBBY\Desktop\OTL.exe
[2012.01.27 13:01:08 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CCleaner
[2012.01.27 13:01:08 | 000,000,000 | ---D | C] -- C:\Program Files\CCleaner
[2012.01.26 18:02:34 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Microsoft Security Client
[2012.01.26 18:01:59 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft Security Client
[2012.01.26 18:01:29 | 000,374,664 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\drivers\netio.sys
[2012.01.26 17:51:01 | 000,016,200 | ---- | C] (McAfee, Inc.) -- C:\Windows\stinger.sys
[2012.01.26 17:50:16 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\stinger
[2012.01.22 23:59:37 | 000,000,000 | ---D | C] -- C:\Users\ROBBY\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\System Check
[2012.01.22 23:54:01 | 000,000,000 | ---D | C] -- C:\ProgramData\Temp
[2012.01.12 14:50:06 | 001,572,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\quartz.dll
[2012.01.12 14:50:06 | 001,328,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\quartz.dll
[2012.01.12 14:50:05 | 000,514,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\qdvd.dll
[2012.01.12 14:50:05 | 000,366,592 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\qdvd.dll
[2012.01.12 14:50:04 | 000,852,480 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\jscript.dll
[2012.01.12 14:50:04 | 000,716,800 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\jscript.dll
[2012.01.12 14:50:03 | 001,739,160 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\ntdll.dll
[2012.01.12 14:50:02 | 000,077,312 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysNative\packager.dll
[2012.01.12 14:50:02 | 000,067,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\packager.dll
[2012.01.08 15:05:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Watchtower Library 2011
[2012.01.06 18:25:45 | 000,000,000 | ---D | C] -- C:\ProgramData\2D16C
[1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.01.30 09:09:14 | 000,014,016 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.01.30 09:09:14 | 000,014,016 | -H-- | M] () -- C:\Windows\SysNative\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.01.30 09:01:55 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.01.30 09:01:39 | 2306,244,608 | -HS- | M] () -- C:\hiberfil.sys
[2012.01.29 19:24:25 | 000,584,192 | ---- | M] (OldTimer Tools) -- C:\Users\ROBBY\Desktop\OTL.exe
[2012.01.27 16:42:38 | 000,001,111 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.01.27 13:14:48 | 000,000,039 | ---- | M] () -- C:\Windows\WININIT.INI
[2012.01.27 13:01:08 | 000,000,824 | ---- | M] () -- C:\Users\Public\Desktop\CCleaner.lnk
[2012.01.27 11:16:48 | 000,050,477 | ---- | M] () -- C:\Users\ROBBY\Desktop\Defogger.exe
[2012.01.27 11:14:52 | 000,000,000 | ---- | M] () -- C:\Users\ROBBY\defogger_reenable
[2012.01.27 10:01:07 | 001,505,034 | ---- | M] () -- C:\Windows\SysNative\PerfStringBackup.INI
[2012.01.27 10:01:07 | 000,656,266 | ---- | M] () -- C:\Windows\SysNative\perfh007.dat
[2012.01.27 10:01:07 | 000,618,108 | ---- | M] () -- C:\Windows\SysNative\perfh009.dat
[2012.01.27 10:01:07 | 000,131,006 | ---- | M] () -- C:\Windows\SysNative\perfc007.dat
[2012.01.27 10:01:07 | 000,107,388 | ---- | M] () -- C:\Windows\SysNative\perfc009.dat
[2012.01.26 18:04:49 | 000,002,154 | ---- | M] () -- C:\Windows\epplauncher.mif
[2012.01.26 18:02:45 | 001,526,948 | ---- | M] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2012.01.26 17:51:01 | 000,016,200 | ---- | M] (McAfee, Inc.) -- C:\Windows\stinger.sys
[2012.01.08 22:39:07 | 000,002,095 | ---- | M] () -- C:\Users\ROBBY\.recently-used.xbel
[2012.01.06 18:41:30 | 000,015,360 | ---- | M] () -- C:\Users\ROBBY\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.01.29 11:11:28 | 000,002,519 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk
[2012.01.27 16:42:38 | 000,001,111 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.01.27 13:14:48 | 000,000,039 | ---- | C] () -- C:\Windows\WININIT.INI
[2012.01.27 13:01:08 | 000,000,824 | ---- | C] () -- C:\Users\Public\Desktop\CCleaner.lnk
[2012.01.27 11:14:52 | 000,000,000 | ---- | C] () -- C:\Users\ROBBY\defogger_reenable
[2012.01.27 11:14:16 | 000,050,477 | ---- | C] () -- C:\Users\ROBBY\Desktop\Defogger.exe
[2012.01.26 18:04:49 | 000,002,154 | ---- | C] () -- C:\Windows\epplauncher.mif
[2012.01.26 18:02:45 | 001,526,948 | ---- | C] () -- C:\Windows\SysWow64\PerfStringBackup.INI
[2012.01.08 22:39:07 | 000,002,095 | ---- | C] () -- C:\Users\ROBBY\.recently-used.xbel
[2011.06.08 18:40:16 | 000,000,164 | ---- | C] () -- C:\ProgramData\{701ACAF9-F102-47c2-8907-36246F4DFB51}
[2010.12.04 16:49:45 | 000,015,360 | ---- | C] () -- C:\Users\ROBBY\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2010.11.29 21:30:33 | 000,000,056 | ---- | C] () -- C:\Windows\SysWow64\ezsidmv.dat
[2010.10.18 18:04:56 | 000,003,504 | ---- | C] () -- C:\Users\ROBBY\AppData\Roaming\wklnhst.dat
[2010.04.04 19:45:59 | 000,000,400 | ---- | C] () -- C:\Windows\ODBC.INI
[2010.02.16 22:06:54 | 000,111,932 | ---- | C] () -- C:\Windows\SysWow64\EPPICPrinterDB.dat
[2010.02.16 22:06:54 | 000,031,053 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern131.dat
[2010.02.16 22:06:54 | 000,027,417 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern121.dat
[2010.02.16 22:06:54 | 000,026,154 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern1.dat
[2010.02.16 22:06:54 | 000,024,903 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern3.dat
[2010.02.16 22:06:54 | 000,021,390 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern5.dat
[2010.02.16 22:06:54 | 000,020,148 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern2.dat
[2010.02.16 22:06:54 | 000,011,811 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern4.dat
[2010.02.16 22:06:54 | 000,004,943 | ---- | C] () -- C:\Windows\SysWow64\EPPICPattern6.dat
[2010.02.16 22:06:54 | 000,001,146 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_DU.dat
[2010.02.16 22:06:54 | 000,001,139 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_PT.dat
[2010.02.16 22:06:54 | 000,001,139 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_BP.dat
[2010.02.16 22:06:54 | 000,001,136 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_ES.dat
[2010.02.16 22:06:54 | 000,001,129 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_FR.dat
[2010.02.16 22:06:54 | 000,001,129 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_CF.dat
[2010.02.16 22:06:54 | 000,001,120 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_IT.dat
[2010.02.16 22:06:54 | 000,001,107 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_GE.dat
[2010.02.16 22:06:54 | 000,001,104 | ---- | C] () -- C:\Windows\SysWow64\EPPICPresetData_EN.dat
[2010.02.16 22:06:54 | 000,000,097 | ---- | C] () -- C:\Windows\SysWow64\PICSDK.ini
[2010.02.16 18:59:11 | 000,000,025 | ---- | C] () -- C:\Windows\CDE RX560EFGD.ini
[2010.02.16 18:52:31 | 000,118,784 | ---- | C] () -- C:\Windows\bwUnin-7.2.0.137-8876480SL.exe
[2010.02.02 16:59:48 | 000,000,074 | RHS- | C] () -- C:\Windows\CT4CET.bin
[2010.02.02 09:22:17 | 000,146,432 | ---- | C] () -- C:\Windows\SysWow64\APOMngr.DLL
[2010.02.02 09:22:17 | 000,072,704 | ---- | C] () -- C:\Windows\SysWow64\CmdRtr.DLL
[2009.10.08 02:34:52 | 000,874,032 | ---- | C] () -- C:\Windows\SysWow64\igkrng575.bin
[2009.10.08 02:34:52 | 000,127,896 | ---- | C] () -- C:\Windows\SysWow64\igcompkrng575.bin
[2009.10.08 02:34:52 | 000,049,712 | ---- | C] () -- C:\Windows\SysWow64\igfcg575m.bin
[2009.10.08 01:36:18 | 000,208,896 | ---- | C] () -- C:\Windows\SysWow64\iglhsip32.dll
[2009.10.08 01:36:18 | 000,147,456 | ---- | C] () -- C:\Windows\SysWow64\iglhcp32.dll
[2009.07.14 06:38:36 | 000,067,584 | --S- | C] () -- C:\Windows\bootstat.dat
[2009.07.14 03:35:51 | 000,000,741 | ---- | C] () -- C:\Windows\SysWow64\NOISE.DAT
[2009.07.14 03:34:42 | 000,215,943 | ---- | C] () -- C:\Windows\SysWow64\dssec.dat
[2009.07.14 01:10:29 | 000,043,131 | ---- | C] () -- C:\Windows\mib.bin
[2009.07.14 00:42:10 | 000,064,000 | ---- | C] () -- C:\Windows\SysWow64\BWContextHandler.dll
[2009.07.13 22:03:59 | 000,364,544 | ---- | C] () -- C:\Windows\SysWow64\msjetoledb40.dll
[2009.06.10 22:26:10 | 000,673,088 | ---- | C] () -- C:\Windows\SysWow64\mlang.dat
[2003.02.20 16:53:42 | 000,005,702 | ---- | C] () -- C:\Windows\SysWow64\OUTLPERF.INI

< End of report >

Extras.Txt:

Code:

ATTFilter

OTL Extras logfile created on: 30.01.2012 09:04:45 - Run 1
OTL by OldTimer - Version 3.2.31.0     Folder = C:\Users\ROBBY\Desktop
64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,86 Gb Total Physical Memory | 1,84 Gb Available Physical Memory | 64,36% Memory free
5,73 Gb Paging File | 4,56 Gb Available in Paging File | 79,70% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86)
Drive C: | 58,59 Gb Total Space | 2,97 Gb Free Space | 5,08% Space Free | Partition Type: NTFS
Drive D: | 164,43 Gb Total Space | 92,23 Gb Free Space | 56,09% Space Free | Partition Type: NTFS
 
Computer Name: MARYPC | User Name: ROBBY | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.url[@ = InternetShortcut] -- C:\Windows\SysNative\rundll32.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\SysWow64\control.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
InternetShortcut [open] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\ieframe.dll",OpenURL %l (Microsoft Corporation)
InternetShortcut [print] -- "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\mshtml.dll",PrintHTML "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~2\MIF5BA~1\Office12\ONENOTE.EXE "%L"
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~2\MIF5BA~1\Office12\ONENOTE.EXE "%L"
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 0
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = 28 4D B2 76 41 04 CA 01  [binary data]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{05BFB060-4F22-4710-B0A2-2801A1B606C5}" = Microsoft Antimalware
"{071c9b48-7c32-4621-a0ac-3f809523288f}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{1280E900-35DA-4E08-A700-B79A5B2B8532}" = Microsoft Antimalware Service DE-DE Language Pack
"{26A24AE4-039D-4CA4-87B4-2F86416016FF}" = Java(TM) 6 Update 16 (64-bit)
"{42738DB0-FC3E-4672-A99B-9372F5696E30}" = Microsoft Security Client
"{5FCE6D76-F5DC-37AB-B2B8-22AB8CEDB1D4}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.6161
"{77B8B4A5-EE79-4907-A318-2DA86325B8D7}" = iTunes
"{8220EEFE-38CD-377E-8595-13398D740ACE}" = Microsoft Visual C++ 2008 Redistributable - x64 9.0.30729.17
"{8338783A-0968-3B85-AFC7-BAAE0A63DC50}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x64 9.0.30729.5570
"{87CF757E-C1F1-4D22-865C-00C6950B5258}" = Quickset64
"{8EBA8727-ADC2-477B-9D9A-1A1836BE4E05}" = Dell Edoc Viewer
"{90120000-002A-0000-1000-0000000FF1CE}" = Microsoft Office Office 64-bit Components 2007
"{90120000-002A-0407-1000-0000000FF1CE}" = Microsoft Office Shared 64-bit MUI (German) 2007
"{95120000-00B9-0409-1000-0000000FF1CE}" = Microsoft Application Error Reporting
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Dell Touchpad
"{aac9fcc4-dd9e-4add-901c-b5496a07ab2e}" = Microsoft Visual C++ 2005 Redistributable (x64) - KB2467175
"{ad8a2fa1-06e7-4b0d-927d-6e54b3d31028}" = Microsoft Visual C++ 2005 Redistributable (x64)
"{B6E3757B-5E77-3915-866A-CCFC4B8D194C}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x64 8.0.50727.4053
"{DC911ADF-7B60-40F2-A112-FB1EB6402D07}" = Microsoft Security Client DE-DE Language Pack
"{E4F5E48E-7155-4CF9-88CD-7F377EC9AC54}" = Bonjour
"{E5C95CA5-4565-4B9D-97ED-05088D775614}" = Apple Mobile Device Support
"{E60B7350-EA5F-41E0-9D6F-E508781E36D2}" = Dell Dock
"{EE936C7A-EA40-31D5-9B65-8E3E089C3828}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x64 9.0.30729.4148
"{F5B09CFD-F0B2-36AF-8DF4-1DF6B63FC7B4}" = Microsoft .NET Framework 4 Client Profile
"CCleaner" = CCleaner
"Dell Wireless WLAN Card Utility" = Dell Wireless WLAN Card Utility
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft Security Client" = Microsoft Security Essentials
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{1E299D2F-A7BA-457A-BECF-35AC55E4BD74}" = SweetIM Toolbar for Internet Explorer 3.6
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{205C6BDD-7B73-42DE-8505-9A093F35A238}" = Windows Live-Uploadtool
"{20C45B32-5AB6-46A4-94EF-58950CAF05E5}" = EPSON Attach To Email
"{22B775E7-6C42-4FC5-8E10-9A5E3257BD94}" = MSVCRT
"{26A24AE4-039D-4CA4-87B4-2F83216016FF}" = Java(TM) 6 Update 16
"{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}" = EPSON Scan Assistant
"{2EB81825-E9EE-44F4-8F51-1240C3898DC6}" = EPSON File Manager
"{2F92229B-8CE2-4482-8047-9DBF49CA5F58}" = Camera RAW Plug-In for EPSON Creativity Suite
"{2FDBBCEA-62DB-45F4-B6E5-0E1FB2A1F29D}" = Visual C++ 8.0 Runtime Setup Package (x64)
"{3175E049-F9A9-4A3D-8F19-AC9FB04514D1}" = Windows Live Communications Platform
"{39D0E034-1042-4905-BECB-5502909FCB7C}" = Microsoft Works
"{4CBA3D4C-8F51-4D60-B27E-F6B641C571E7}" = Microsoft Search Enhancement Pack
"{51C7AD07-C3F6-4635-8E8A-231306D810FE}" = Cisco LEAP Module
"{52B97218-98CB-4B8B-9283-D213C85E1AA4}" = Windows Live Anmelde-Assistent
"{57752979-A1C9-4C02-856B-FBB27AC4E02C}" = QuickTime
"{57F0ED40-8F11-41AA-B926-4A66D0D1A9CC}" = Microsoft Office Live Add-in 1.3
"{586509F0-350D-48B5-B763-9CC2F8D96C4C}" = Windows Live Sync
"{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}" = Cisco EAP-FAST Module
"{65D0C510-D7B6-4438-9FC8-E6B91115AB0D}" = Live! Cam Avatar Creator
"{67EDD823-135A-4D59-87BD-950616D6E857}" = EPSON Copy Utility 3
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD DX
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{71BFC818-0CED-42D6-9C87-5142918957EE}" = ICQ7.1
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{7DB9F1E5-9ACB-410D-A7DC-7A3D023CE045}" = Dell Getting Started Guide
"{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}" = EPSON Web-To-Page
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{850C7BD3-9F3F-46AD-9396-E7985B38C55E}" = Windows Live Fotogalerie
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8BE514E8-4486-4730-8B68-FA15EEDC942E}" = Watchtower Library 2011 - Deutsch
"{8F2754CA-B124-4530-9542-00FE699EA8FD}" = Watchtower Library 2010 - Deutsch
"{8FB495A1-4A3F-4C1D-BD27-3F3AB2E66763}" = iMesh
"{90110407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Professional Edition 2003
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002A-0000-1000-0000000FF1CE}_HOMESTUDENTR_{E64BA721-2310-4B55-BE5A-2925F9706192}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-002A-0407-1000-0000000FF1CE}_HOMESTUDENTR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{3D019598-7B59-447A-80AE-815B703B84FF}" = Security Update for Microsoft Office system 2007 (972581)
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{95140000-007A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook Connector
"{956673F5-0C6B-4428-A5D1-277AF533E098}" = EPSON PRINT Image Framer Tool
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A33E7B0C-B99C-4EC9-B702-8A328B161AF9}" = Roxio Burn
"{A588FF79-CFDD-4FB1-B2D3-FED2DC884B52}" = Watchtower Library 2009 - Deutsch
"{A7496F46-78AE-4DB2-BCF5-95F210FA6F96}" = Windows Live Movie Maker
"{AC76BA86-7AD7-1031-7B44-A91000000001}" = Adobe Reader 9.1.2 - Deutsch
"{AED2DD42-9853-407E-A6BC-8A1D6B715909}" = Windows Live Messenger
"{B2E47DE7-800B-40BB-BD1F-9F221C3AEE87}" = Roxio Burn
"{B8890B12-4E4C-4E53-9ECB-96193BBA7767}" = EPSON Easy Photo Print
"{C5398A89-516C-4DAF-BA07-EE7949090E56}" = Windows Live Mesh ActiveX control for remote connections
"{CAFA57E8-8927-4912-AFCF-B0AA3837E989}" = Windows Live Essentials
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{D2041A37-5FEC-49F0-AE5C-3F2FFDFAA4F4}" = Windows Live Call
"{E3BFEE55-39E2-4BE0-B966-89FE583822C1}" = Dell Support Center (Support Software)
"{E50AE784-FABE-46DA-A1F8-7B6B56DCB22E}" = Microsoft Office Suite Activation Assistant
"{EB21A812-671B-4D08-B974-2A347F0D8F70}" = HP Photosmart Essential
"{ED5776D5-59B4-46B7-AF81-5F2D94D7C640}" = Cisco PEAP Module
"{EE6097DD-05F4-4178-9719-D3170BF098E8}" = Apple Application Support
"{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}" = Microsoft SQL Server 2005 Compact Edition [ENU]
"{F0E12BBA-AD66-4022-A453-A1C8A0C4D570}" = Microsoft Choice Guard
"{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}" = Intel(R) Graphics Media Accelerator Driver
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F81415D2-CEC9-4F96-9ABA-B2CC5382A930}" = SweetIM for Messenger 3.0
"{FF477885-5EA8-40D0-ADF3-D4C1B86FAEA4}" = EPSON Print CD
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Advanced Audio FX Engine" = Advanced Audio FX Engine
"Audacity_is1" = Audacity 1.2.6
"Dell Webcam Central" = Dell Webcam Central
"EPSON Scanner" = EPSON Scan
"ESET Online Scanner" = ESET Online Scanner v3
"ESPRX560_590 Benutzerhandbuch" = ESPRX560_590 Benutzerhandbuch
"Free YouTube to iPod Converter_is1" = Free YouTube to iPod Converter version 3.10.13.1123
"Free YouTube to MP3 Converter_is1" = Free YouTube to MP3 Converter version 3.10.13.1123
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"iMesh" = iMesh
"InstallShield_{20C45B32-5AB6-46A4-94EF-58950CAF05E5}" = EPSON Attach To Email
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.60.0.1800
"ManyCam" = ManyCam 2.4 (remove only)
"Messenger Plus! Live" = Messenger Plus! Live
"MP3 Recorder Studio_is1" = MP3 Recorder Studio 6.0
"PhotoDream_is1" = PhotoDream 3.5
"PhotoScape" = PhotoScape
"Picasa 3" = Picasa 3
"WinGimp-2.0_is1" = GIMP 2.6.11
"WinLiveSuite_Wave3" = Windows Live Essentials
"WinRAR archiver" = WinRAR 4.01 (32-Bit)
 
========== Last 10 Event Log Errors ==========
 
Error reading Event Logs: The Event Service is not operating properly or the Event Logs are corrupt!
 
< End of report >

cosinus · 30.01.2012, 10:40

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/USCON/8
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/USCON/8
IE - HKLM\..\URLSearchHook:  - No CLSID value found
IE - HKLM\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/USCON/8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Preserve
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\..\URLSearchHook:  - No CLSID value found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files (x86)\MyWebSearch\bar\2.bin
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3:64bit: - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {872B5B88-9DB5-4310-BDD0-AC189557E5F5} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {94FC3FB2-3E5C-4B8F-AAEE-17090CE800BC} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKCU..\Run: [EPSON Stylus Photo RX560 Series] C:\Windows\system32\spool\DRIVERS\x64\3\E_FATIBPE.EXE /FU "C:\Users\ROBBY\AppData\Local\Temp\E_SB31.tmp" /EF "HKCU" File not found
O4 - HKLM..\RunOnce: [AvgUninstallURL] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)
:Files
C:\Program Files (x86)\MyWebSearch
C:\ProgramData\2D16C
:Commands
[emptytemp]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

RobinSword · 30.01.2012, 19:18

So, OTL-Fix durchgeführt. Hier das Logfile:

Code:

ATTFilter

All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Secondary_Page_URL| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Secondary Start Pages| /E : value set successfully!
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\{855F3B16-6D32-4fe6-8A56-BBB695989046} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}\ not found.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Default_Page_URL| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Page| /E : value set successfully!
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\\ deleted successfully.
File HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files (x86)\MyWebSearch\bar\2.bin not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}\ deleted successfully.
C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll moved successfully.
64bit-Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{EEE6C35B-6118-11DC-9C72-001320C79847} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ deleted successfully.
File C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{21FA44EF-376D-4D53-9B0F-8A89D3229068} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{21FA44EF-376D-4D53-9B0F-8A89D3229068}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{872B5B88-9DB5-4310-BDD0-AC189557E5F5} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{872B5B88-9DB5-4310-BDD0-AC189557E5F5}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{94FC3FB2-3E5C-4B8F-AAEE-17090CE800BC} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{94FC3FB2-3E5C-4B8F-AAEE-17090CE800BC}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EEE6C35B-6118-11DC-9C72-001320C79847} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}\ not found.
File C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\EPSON Stylus Photo RX560 Series deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce\\AvgUninstallURL deleted successfully.
C:\Windows\SysWOW64\cmd.exe moved successfully.
========== FILES ==========
File\Folder C:\Program Files (x86)\MyWebSearch not found.
C:\ProgramData\2D16C folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: AppData
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: MARY
->Temp folder emptied: 13760589 bytes
->Temporary Internet Files folder emptied: 6947218 bytes
->Java cache emptied: 12211201 bytes
->Flash cache emptied: 1294 bytes
 
User: Public
 
User: ROBBY
->Temp folder emptied: 985294763 bytes
->Temporary Internet Files folder emptied: 44249238 bytes
->Java cache emptied: 35257336 bytes
->Flash cache emptied: 40814 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1510223 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50568 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 1.048,00 mb
 
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.31.0 log created on 01302012_185334

Files\Folders moved on Reboot...
C:\Users\ROBBY\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

Ist das System nun wieder clean?

Es bestehen allerdings noch folgende Probleme:

1. Ich habe festgestellt, dass es unterhalb von C:\Users\ROBBY\Appdata\Local eine gefährliche Zirkelschlussverknüpfung gibt. Evtl. ist diese auch schuld am Out-of-Memory-Problem des OTL. Denn während des Scans ist mir aufgefallen, dass immer tiefer gescannt wurde, die Ordner aber immer "Anwendungsdaten" hießen. Als Baumstruktur dargestellt sieht das so aus:
C:\
--Robby\
----Appdata\
------Local\
--------Anwendungsdaten\
----------Anwendungsdaten\
------------Anwendungsdaten\
--------------Anwendungsdaten\
----------------Anwendungsdaten\
... (bis in die Unendlichkeit)

Die Ordner existieren aber nicht wirklich, sondern es befindet sich in C:\Users\ROBBY\Appdata\Local eine versteckte Verknüpfung namens "Anwendungsdaten", die offensichtlich auf sich selbst verweist. So verschachtelt sich das quasi unendlich. Das ist doch sicher auch das Werk des Trojaners, oder? Wie soll ich das beheben? Einfach die Verknüpfung löschen? Ich will halt nichts kaputt machen. Es befinden sich dort übrigens noch weitere Verknüpfungen namens "Temporary Internet Files", "Verlauf" und "Anwendungsdaten - Verknüpfung".

2. Vielleicht hängt das auch mit dem 1.Punkt zusammen: Im Startmenü fehlen nach wie vor die Standard-Einträge (Systemsteuerung, etc.). Und unter "Alle Programme" sind zwar alle Ordner vorhanden, allerdings befinden sich keine Verknüpfungen darin. Ne Idee, wie ich das wiederherstellen kann? Die unhide.exe hatte ich ja schon vor Kurzem ausgeführt.

3. Die Windows-Firewall lässt sich nicht einschalten. Meldung: "Einige der Einstellungen können von der Windows-Firewall nicht geändert werden. Fehlercode: 0x80070424"

Vielen Dank für den großartigen Support, der bis hierher schon geleistet wurde!
Robin

27.01.2012, 14:29	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid Dann poste erstmal alles von MSE __________________ Logfiles bitte immer in CODE-Tags posten

FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid

Log-Analyse und Auswertung: FakeAlert!grb, Win32/FakeSysdef, Win32/Defmid