Neue Funde von Avira Antivir! Was nun?

Petain · 06.03.2012, 22:18

Hallo!

Bei einem routinemäßigen Check mit Avira Antivir wurden auf meinem Rechner neue Bedrohungen gefunden.
Vielleicht kann sich von Euch jemand mal kurz das Protokoll ansehen und mir mitteilen, ob weitere Scans/Checks erforderlich sind.

Hier das Protokoll:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Montag, 5. März 2012  23:52

Es wird nach 3522657 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows Vista
Windowsversion : (Service Pack 2)  [6.0.6002]
Boot Modus     : Normal gebootet
Benutzername   : A****
Computername   : G*****

Versionsinformationen:
BUILD.DAT      : 12.0.0.898     41963 Bytes  31.01.2012 13:51:00
AVSCAN.EXE     : 12.1.0.20     492496 Bytes  15.02.2012 18:12:43
AVSCAN.DLL     : 12.1.0.18      65744 Bytes  15.02.2012 18:12:42
LUKE.DLL       : 12.1.0.19      68304 Bytes  15.02.2012 18:12:43
AVSCPLR.DLL    : 12.1.0.22     100048 Bytes  15.02.2012 18:12:45
AVREG.DLL      : 12.1.0.29     228048 Bytes  15.02.2012 18:12:44
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 18:18:34
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:07:39
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 19:09:23
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 18:53:41
VBASE004.VDF   : 7.11.21.239     2048 Bytes  01.02.2012 18:53:47
VBASE005.VDF   : 7.11.21.240     2048 Bytes  01.02.2012 18:53:48
VBASE006.VDF   : 7.11.21.241     2048 Bytes  01.02.2012 18:53:48
VBASE007.VDF   : 7.11.21.242     2048 Bytes  01.02.2012 18:53:49
VBASE008.VDF   : 7.11.21.243     2048 Bytes  01.02.2012 18:53:49
VBASE009.VDF   : 7.11.21.244     2048 Bytes  01.02.2012 18:53:49
VBASE010.VDF   : 7.11.21.245     2048 Bytes  01.02.2012 18:53:51
VBASE011.VDF   : 7.11.21.246     2048 Bytes  01.02.2012 18:53:52
VBASE012.VDF   : 7.11.21.247     2048 Bytes  01.02.2012 18:53:52
VBASE013.VDF   : 7.11.22.33   1486848 Bytes  03.02.2012 19:03:16
VBASE014.VDF   : 7.11.22.56    687616 Bytes  03.02.2012 19:03:27
VBASE015.VDF   : 7.11.22.92    178176 Bytes  06.02.2012 19:05:11
VBASE016.VDF   : 7.11.22.154   144896 Bytes  08.02.2012 18:05:21
VBASE017.VDF   : 7.11.22.220   183296 Bytes  13.02.2012 18:12:41
VBASE018.VDF   : 7.11.23.34    202752 Bytes  15.02.2012 18:12:40
VBASE019.VDF   : 7.11.23.98    126464 Bytes  17.02.2012 18:21:26
VBASE020.VDF   : 7.11.23.150   148480 Bytes  20.02.2012 18:46:04
VBASE021.VDF   : 7.11.23.224   172544 Bytes  23.02.2012 14:50:48
VBASE022.VDF   : 7.11.24.52    219648 Bytes  28.02.2012 18:46:08
VBASE023.VDF   : 7.11.24.152   165888 Bytes  05.03.2012 18:46:16
VBASE024.VDF   : 7.11.24.153     2048 Bytes  05.03.2012 18:46:16
VBASE025.VDF   : 7.11.24.154     2048 Bytes  05.03.2012 18:46:16
VBASE026.VDF   : 7.11.24.155     2048 Bytes  05.03.2012 18:46:16
VBASE027.VDF   : 7.11.24.156     2048 Bytes  05.03.2012 18:46:16
VBASE028.VDF   : 7.11.24.157     2048 Bytes  05.03.2012 18:46:16
VBASE029.VDF   : 7.11.24.158     2048 Bytes  05.03.2012 18:46:16
VBASE030.VDF   : 7.11.24.159     2048 Bytes  05.03.2012 18:46:16
VBASE031.VDF   : 7.11.24.170    65536 Bytes  05.03.2012 18:46:17
Engineversion  : 8.2.10.8  
AEVDF.DLL      : 8.1.2.2       106868 Bytes  22.11.2011 13:20:02
AESCRIPT.DLL   : 8.1.4.7       442746 Bytes  23.02.2012 19:43:40
AESCN.DLL      : 8.1.8.2       131444 Bytes  27.01.2012 18:46:58
AESBX.DLL      : 8.2.4.5       434549 Bytes  10.12.2011 12:43:37
AERDL.DLL      : 8.1.9.15      639348 Bytes  08.09.2011 21:16:06
AEPACK.DLL     : 8.2.16.3      799094 Bytes  12.02.2012 18:06:40
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  30.12.2011 19:20:45
AEHEUR.DLL     : 8.1.4.0      4436342 Bytes  23.02.2012 19:43:33
AEHELP.DLL     : 8.1.19.0      254327 Bytes  19.01.2012 18:48:18
AEGEN.DLL      : 8.1.5.21      409971 Bytes  03.02.2012 19:03:31
AEEXP.DLL      : 8.1.0.23       70005 Bytes  23.02.2012 19:43:45
AEEMU.DLL      : 8.1.3.0       393589 Bytes  01.09.2011 21:46:01
AECORE.DLL     : 8.1.25.4      201079 Bytes  13.02.2012 18:12:47
AEBB.DLL       : 8.1.1.0        53618 Bytes  01.09.2011 21:46:01
AVWINLL.DLL    : 12.1.0.17      27344 Bytes  22.11.2011 13:20:07
AVPREF.DLL     : 12.1.0.17      51920 Bytes  22.11.2011 13:20:04
AVREP.DLL      : 12.1.0.17     179408 Bytes  22.11.2011 13:20:05
AVARKT.DLL     : 12.1.0.23     209360 Bytes  15.02.2012 18:12:42
AVEVTLOG.DLL   : 12.1.0.17     169168 Bytes  22.11.2011 13:20:03
SQLITE3.DLL    : 3.7.0.0       398288 Bytes  22.11.2011 13:20:19
AVSMTP.DLL     : 12.1.0.17      62928 Bytes  22.11.2011 13:20:06
NETNT.DLL      : 12.1.0.17      17104 Bytes  22.11.2011 13:20:15
RCIMAGE.DLL    : 12.1.0.17    4447952 Bytes  22.11.2011 13:20:31
RCTEXT.DLL     : 12.1.0.16      98512 Bytes  22.11.2011 13:20:31

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, K:, L:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Montag, 5. März 2012  23:52

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD3
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD4
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD5
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'D:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'K:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'L:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'taskeng.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '73' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '93' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemonu.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'mobsync.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvtray.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'sidebar.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmdc.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'IntelHCTAgent.exe' - '105' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '149' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '80' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '9' Modul(e) wurden durchsucht
Durchsuche Prozess 'TestHandler.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'mdm.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'DQLWinService.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '91' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '85' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvxdsync.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '152' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '115' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1193' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <SYSTEM>
C:\Users\B******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\7bdf784a-79175fee
  [0] Archivtyp: ZIP
  --> Efira.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.CG.2
  --> Sefas.class
      [FUND]      Enthält Erkennungsmuster des Java-Virus JAVA/Inject.G
C:\Users\B******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\5a9b1c43-756ce79c
  [0] Archivtyp: ZIP
  --> AppletX.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
C:\Users\M******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\4a1fbe56-725fb4fd
  [0] Archivtyp: ZIP
  --> Wiki.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
Beginne mit der Suche in 'D:\' <B******>
Beginne mit der Suche in 'K:\' <M******>
Beginne mit der Suche in 'L:\' <T********>

Beginne mit der Desinfektion:
C:\Users\M******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\4a1fbe56-725fb4fd
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/JAVA.Ternub.Gen
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4aa90fe4.qua' verschoben!
C:\Users\B******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\3\5a9b1c43-756ce79c
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2011-3544
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '52362043.qua' verschoben!
C:\Users\B******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\10\7bdf784a-79175fee
  [FUND]      Enthält Erkennungsmuster des Exploits EXP/2010-0840.CG.2
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '005e7a94.qua' verschoben!


Ende des Suchlaufs: Dienstag, 6. März 2012  06:40
Benötigte Zeit:  2:33:33 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  33612 Verzeichnisse wurden überprüft
 1278568 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      3 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 1278563 Dateien ohne Befall
  13971 Archive wurden durchsucht
      0 Warnungen
      3 Hinweise
 604032 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

Der Scan mit Malwarebytes Anti-Malware dagegen hat keine weiteren Bedrohungen als Ergebnis:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.03.06.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
A**** :: G***** [Administrator]

06.03.2012 19:56:50
mbam-log-2012-03-06 (19-56-50).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 570926
Laufzeit: 2 Stunde(n), 24 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Vielen Dank im Voraus für eine Rückmeldung.

Viele Grüße
Petain

cosinus · 07.03.2012, 14:03

Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Petain · 07.03.2012, 21:01

Hallo Arne,

freut mich, dass Du mir hilfst.

Hier das Log vom ESET Online Scanner:

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=d8911ad429a9d646a4719513141bc721
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-07 06:17:33
# local_time=2012-03-07 07:17:33 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1792 16777215 100 0 7609528 7609528 0 0
# compatibility_mode=5892 16776574 100 100 26841 168659519 0 0
# compatibility_mode=8192 67108863 100 0 3834 3834 0 0
# scanned=608370
# found=21
# cleaned=0
# scan_time=17462
F:\Datensicherung_20111006\K_20111006\INTERNETPROGRAMME\Programme\Internetsoftware\getrt45c_ungetestet.exe	Win32/Adware.Gator.Trickler application (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20111006\K_20111006\SPIELE\Anstoss\a2goldtrainer.exe	Win32/Keylogger.HotKeysHook.A virus (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20111006\L_20111006\audiograbber_agsetup183se.exe	a variant of Win32/Adware.ADON application (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20111006\L_20111006\exact_audio_copy_ripper_eac-0.99pb5.exe	Win32/Adware.ADON application (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20111006\L_20111006\FormatFactory_FSetup220.zip	Win32/Adware.ADON application (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20111006\L_20111006\Downloads_Programme_Ungetestet\go392.exe	multiple threats (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20111006\L_20111006\Downloads_Programme_Ungetestet\HEIDI.EXE	probably a variant of Win32/Agent.EVOFTBB trojan (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20120208\K_20120208\INTERNETPROGRAMME\Programme\Internetsoftware\getrt45c_ungetestet.exe	Win32/Adware.Gator.Trickler application (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20120208\K_20120208\SPIELE\Anstoss\a2goldtrainer.exe	Win32/Keylogger.HotKeysHook.A virus (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20120208\L_20120208\exact_audio_copy_ripper_eac-0.99pb5.exe	Win32/Adware.ADON application (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20120208\L_20120208\audiograbber_agsetup183se.exe	a variant of Win32/Adware.ADON application (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20120208\L_20120208\FormatFactory_FSetup220.zip	Win32/Adware.ADON application (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20120208\L_20120208\Downloads_Programme_Ungetestet\go392.exe	multiple threats (unable to clean)	00000000000000000000000000000000	I
F:\Datensicherung_20120208\L_20120208\Downloads_Programme_Ungetestet\HEIDI.EXE	probably a variant of Win32/Agent.EVOFTBB trojan (unable to clean)	00000000000000000000000000000000	I
K:\INTERNETPROGRAMME\Programme\Internetsoftware\getrt45c_ungetestet.exe	Win32/Adware.Gator.Trickler application (unable to clean)	00000000000000000000000000000000	I
K:\SPIELE\Anstoss\a2goldtrainer.exe	Win32/Keylogger.HotKeysHook.A virus (unable to clean)	00000000000000000000000000000000	I
L:\audiograbber_agsetup183se.exe	a variant of Win32/Adware.ADON application (unable to clean)	00000000000000000000000000000000	I
L:\exact_audio_copy_ripper_eac-0.99pb5.exe	Win32/Adware.ADON application (unable to clean)	00000000000000000000000000000000	I
L:\FormatFactory_FSetup220.zip	Win32/Adware.ADON application (unable to clean)	00000000000000000000000000000000	I
L:\Downloads_Programme_Ungetestet\go392.exe	multiple threats (unable to clean)	00000000000000000000000000000000	I
L:\Downloads_Programme_Ungetestet\HEIDI.EXE	probably a variant of Win32/Agent.EVOFTBB trojan (unable to clean)	00000000000000000000000000000000	I

Wie vorgegeben hatte ich KEINEN Haken bei "Remove Found Threats" gesetzt.

Mir ist gerade noch aufgefallen, dass Windows Defender momentan nicht mehr funktioniert.
Die Fehlermeldung habe ich mal als Bilddatei angehängt.
Weiß nicht, ob das was zu bedeuten hat.

Bin schon gespannt auf Deine nächste Antwort.

Grüße
Petain

cosinus · 07.03.2012, 23:27

Zitat:

K:\INTERNETPROGRAMME\Programme\Internetsoftware\getrt45c_ungetestet.exe

Was soll das sein?!

Zitat:

K:\SPIELE\Anstoss\a2goldtrainer.exe

"Trainer" sind immer hochriskantes Zeug. Lass die Finger davon!

Petain · 07.03.2012, 23:41

Hallo Arne!

Zitat:

Zitat:
K:\INTERNETPROGRAMME\Programme\Internetsoftware\getrt45c_ungetestet.exe
Was soll das sein?!

Es handelt sich hier um eine alte Version von dem Download-Manager Getright. Diese Software hatte ich früher genutzt. In heutigen Zeiten mit DSL, brauche ich die Software nicht mehr. Kann ich gerne löschen.

Zitat:

Zitat:
K:\SPIELE\Anstoss\a2goldtrainer.exe
"Trainer" sind immer hochriskantes Zeug. Lass die Finger davon!

Was meinst Du mit "Trainer" sind hochriskantes Zeug? Meinst Du damit wirklich Management-Simulations-Spiele?
a2goldtrainer.exe stammte von einem vor ca. 10 Jahren gekauften FußballManager "Anstoss 2 Gold Edition" (Hersteller: Ascaron)
Spielen tue ich das schon längere Zeit nicht mehr. Der Ordner auf meiner Festplatte war so eine Art Datensicherungsordner. Könnte ich auch gerne löschen.

Grüße,
Petain

cosinus · 07.03.2012, 23:51

Zitat:

a2goldtrainer.exe stammte von einem vor ca. 10 Jahren gekauften FußballManager "Anstoss 2 Gold Edition" (Hersteller: Ascaron)

Aber doch nicht der "Trainer"! Sog. Trainer sind meistens irgendwelche Schummeltools (Cheats) aus sehr dubiosen Ecken!

Petain · 07.03.2012, 23:58

Ok, verstehe!

Habe damals wirklich mit Cheats gearbeitet um als "Fußball-Trainer" erfolgreicher zu sein. Daher kann es schon sein, dass "a2goldtrainer.exe" keine Original-Datei von der Installations-CD war.
Werde mich zukünftig von derartigen "Trainern" fernhalten.

Nachdem ich dieses Spiel (Anstoss2) nicht mehr auf meinem Rechner brauche, werde ich den gesamten Dateiordner löschen.

Getright nutze ich auch nicht mehr. Das war nur hilfreich, wenn man mal ein par MB über ISDN downloaden musste. Werde ich auch löschen.

Wie geht es danach weiter?

Petain · 08.03.2012, 09:31

Hallo Arne!

Ergänzend zu meinem letzten Post habe ich mir inzwischen die anderen Funde vom Eset Online auch mal genauer betrachtet.
Aus meiner Sicht kann das alles gelöscht werden. Diese Sachen habe ich mir irgendwann beim Surfen heruntergeladen, aber dann aus Zeitgründen nie installiert und genutzt. Brauche diese Programme nämlich auch gar nicht.

Bei manchen Sachen (Heidi.exe und go392.exe) habe ich zudem keine Idee, was sich dahinter verbergen soll. Somit ist löschen auch hier wohl die einzig richtige Entscheidung.

Gib mir bitte Bescheid, falls ich (noch) nicht löschen soll (weil es z.B. die weiteren Analysen und Checks auf meinem Rechner erschwert) und lass mich wissen mit welchen Scans es weiter gehen soll.

Dank Dir im Voraus.

Grüße
Petain

cosinus · 08.03.2012, 11:03

Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt?
Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind.

Petain · 08.03.2012, 18:21

Hallo Arne!

Ich habe auf Deine Anweisungen hin aus folgenden Thread schon Scans mit Malwarebytes durchgeführt:
http://www.trojaner-board.de/109661-...-17-viren.html

Hier das Log vom ersten damaligen Scan (war unwissenderweise ohne Adminrechte erzeugt worden):

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.02.12.02

Windows Vista Service Pack 2 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 9.0.8112.16421
M****** :: G***** [limitiert]

12.02.2012 16:15:13
mbam-log-2012-02-12 (16-15-13).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 991656
Laufzeit: 2 Stunde(n), 33 Minute(n), 3 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|vasja (Trojan.Zbot.CBCGen) -> Daten: C:\Users\M******\AppData\Local\Temp\0.6200504652967224.exe -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 27
C:\Users\M******\AppData\Local\Temp\0.6200504652967224.exe (Trojan.Zbot.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\M******\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\28\2711205c-36ab087d (Trojan.Zbot.CBCGen) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20100718\K_20100718\INTERNETPROGRAMME\Programme\Internetsoftware\getrt450.exe (Adware.Gator) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20100718\K_20100718\MAILS\Attachments\Xmasligh.exe (Joke.Xmas) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20100718\L_20100718\exact_audio_copy___eac-0.99pb4.exe (Adware.Yabector) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20100718\L_20100718\Alkoholtester.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20100718\L_20100718\Downloads_Programme_Ungetestet\STRESSRELIEF.EXE (Joke.Stressreducer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20110305\L_20110305\exact_audio_copy___eac-0.99pb4.exe (Adware.Yabector) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20110305\L_20110305\Alkoholtester.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20110305\L_20110305\Downloads_Programme_Ungetestet\STRESSRELIEF.EXE (Joke.Stressreducer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20110305\K_20110305\INTERNETPROGRAMME\Programme\Internetsoftware\getrt450.exe (Adware.Gator) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20110305\K_20110305\MAILS\Attachments\Xmasligh.exe (Joke.Xmas) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20111006\K_20111006\INTERNETPROGRAMME\Programme\Internetsoftware\getrt450.exe (Adware.Gator) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20111006\K_20111006\MAILS\Attachments\Xmasligh.exe (Joke.Xmas) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20111006\L_20111006\Alkoholtester.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20111006\L_20111006\exact_audio_copy___eac-0.99pb4.exe (Adware.Yabector) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20111006\L_20111006\Downloads_Programme_Ungetestet\STRESSRELIEF.EXE (Joke.Stressreducer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20120208\K_20120208\INTERNETPROGRAMME\Programme\Internetsoftware\getrt450.exe (Adware.Gator) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20120208\K_20120208\MAILS\Attachments\Xmasligh.exe (Joke.Xmas) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20120208\L_20120208\exact_audio_copy___eac-0.99pb4.exe (Adware.Yabector) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20120208\L_20120208\Alkoholtester.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Datensicherung_20120208\L_20120208\Downloads_Programme_Ungetestet\STRESSRELIEF.EXE (Joke.Stressreducer) -> Erfolgreich gelöscht und in Quarantäne gestellt.
K:\INTERNETPROGRAMME\Programme\Internetsoftware\getrt450.exe (Adware.Gator) -> Erfolgreich gelöscht und in Quarantäne gestellt.
K:\MAILS\Attachments\Xmasligh.exe (Joke.Xmas) -> Erfolgreich gelöscht und in Quarantäne gestellt.
L:\Alkoholtester.exe (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
L:\exact_audio_copy___eac-0.99pb4.exe (Adware.Yabector) -> Erfolgreich gelöscht und in Quarantäne gestellt.
L:\Downloads_Programme_Ungetestet\STRESSRELIEF.EXE (Joke.Stressreducer) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Die restlichen Logs hänge ich Dir als Datei an.
Die Logs vom 26.02. waren entstanden bei den Scans meiner USB-Stifte und meiner SD-Karte.

Grüße
Petain

cosinus · 08.03.2012, 19:52

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

Petain · 08.03.2012, 19:55

Hallo Arne!

Die Funde vom ESET-Online-Scanner kann ich vorher alle löschen, oder?

Zitat:

F:\Datensicherung_20111006\K_20111006\INTERNETPROGRAMME\Programme\Internetsoftware\getrt45c_ungetestet.exe Win32/Adware.Gator.Trickler application (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20111006\K_20111006\SPIELE\Anstoss\a2goldtrainer.exe Win32/Keylogger.HotKeysHook.A virus (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20111006\L_20111006\audiograbber_agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20111006\L_20111006\exact_audio_copy_ripper_eac-0.99pb5.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20111006\L_20111006\FormatFactory_FSetup220.zip Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20111006\L_20111006\Downloads_Programme_Ungetestet\go392.exe multiple threats (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20111006\L_20111006\Downloads_Programme_Ungetestet\HEIDI.EXE probably a variant of Win32/Agent.EVOFTBB trojan (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20120208\K_20120208\INTERNETPROGRAMME\Programme\Internetsoftware\getrt45c_ungetestet.exe Win32/Adware.Gator.Trickler application (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20120208\K_20120208\SPIELE\Anstoss\a2goldtrainer.exe Win32/Keylogger.HotKeysHook.A virus (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20120208\L_20120208\exact_audio_copy_ripper_eac-0.99pb5.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20120208\L_20120208\audiograbber_agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20120208\L_20120208\FormatFactory_FSetup220.zip Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20120208\L_20120208\Downloads_Programme_Ungetestet\go392.exe multiple threats (unable to clean) 00000000000000000000000000000000 I
F:\Datensicherung_20120208\L_20120208\Downloads_Programme_Ungetestet\HEIDI.EXE probably a variant of Win32/Agent.EVOFTBB trojan (unable to clean) 00000000000000000000000000000000 I
K:\INTERNETPROGRAMME\Programme\Internetsoftware\getrt45c_ungetestet.exe Win32/Adware.Gator.Trickler application (unable to clean) 00000000000000000000000000000000 I
K:\SPIELE\Anstoss\a2goldtrainer.exe Win32/Keylogger.HotKeysHook.A virus (unable to clean) 00000000000000000000000000000000 I
L:\audiograbber_agsetup183se.exe a variant of Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
L:\exact_audio_copy_ripper_eac-0.99pb5.exe Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
L:\FormatFactory_FSetup220.zip Win32/Adware.ADON application (unable to clean) 00000000000000000000000000000000 I
L:\Downloads_Programme_Ungetestet\go392.exe multiple threats (unable to clean) 00000000000000000000000000000000 I
L:\Downloads_Programme_Ungetestet\HEIDI.EXE probably a variant of Win32/Agent.EVOFTBB trojan (unable to clean) 00000000000000000000000000000000 I

Grüße
Petain

cosinus · 08.03.2012, 20:31

Ja weg damit

Petain · 08.03.2012, 21:52

Hallo Arne!

Die ESET-Online-Scanner-Funde habe ich alle gelöscht.

Nachfolgend die OTL.Txt vom CustomScan:

Zitat:

created on: 08.03.2012 21:07:50 - Run 3

Das "Run 3" kommt von den Einsätzen bei der vorherigen Virenbekämpfung.
Ebenso die Spuren in OTL.Txt bezüglich SUPERAntiSpyware oder anderer Diagnosetools.

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 08.03.2012 21:07:50 - Run 3
OTL by OldTimer - Version 3.2.36.1     Folder = C:\Users\A****\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,98 Gb Total Physical Memory | 1,37 Gb Available Physical Memory | 68,97% Memory free
4,20 Gb Paging File | 3,45 Gb Available in Paging File | 82,18% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 150,00 Gb Total Space | 79,93 Gb Free Space | 53,28% Space Free | Partition Type: NTFS
Drive D: | 59,15 Gb Total Space | 58,44 Gb Free Space | 98,81% Space Free | Partition Type: NTFS
Drive F: | 232,82 Gb Total Space | 128,55 Gb Free Space | 55,21% Space Free | Partition Type: FAT32
Drive K: | 59,15 Gb Total Space | 27,24 Gb Free Space | 46,06% Space Free | Partition Type: NTFS
Drive L: | 18,07 Gb Total Space | 3,98 Gb Free Space | 22,03% Space Free | Partition Type: NTFS
 
Computer Name: G***** | User Name: A**** | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.03.08 21:04:20 | 000,594,432 | ---- | M] (OldTimer Tools) -- C:\Users\A****\Desktop\OTL.exe
PRC - [2012.01.03 14:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2011.11.22 14:20:33 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.11.22 14:20:17 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2011.11.22 14:20:04 | 000,258,512 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2011.11.22 14:20:04 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.08.20 20:11:07 | 000,273,528 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Real\RealPlayer\Update\realsched.exe
PRC - [2011.05.21 05:01:00 | 002,214,504 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe
PRC - [2011.05.21 05:01:00 | 000,839,272 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\Display\nvxdsync.exe
PRC - [2011.05.21 05:01:00 | 000,373,864 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\Display\nvtray.exe
PRC - [2009.04.11 07:28:03 | 001,233,920 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Sidebar\sidebar.exe
PRC - [2009.04.11 07:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2007.05.14 23:22:22 | 000,035,328 | ---- | M] () -- C:\Programme\Winamp\winampa.exe
PRC - [2006.12.29 11:11:00 | 004,317,184 | ---- | M] (Realtek Semiconductor) -- C:\Windows\RtHDVCpl.exe
PRC - [2006.11.14 16:07:08 | 000,204,800 | ---- | M] (Fujitsu Siemens Computers) -- C:\FirstSteps\OnlineDiagnostic\TestManager\TestHandler.exe
PRC - [2006.10.29 09:03:30 | 000,208,896 | ---- | M] () -- C:\Programme\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe
PRC - [2006.10.26 12:40:34 | 000,335,872 | ---- | M] (Microsoft Corporation) -- C:\Programme\Common Files\microsoft shared\VS7DEBUG\mdm.exe
PRC - [2006.09.26 10:56:00 | 000,423,424 | ---- | M] (Intel Corporation) -- C:\Programme\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2007.05.14 23:22:22 | 000,035,328 | ---- | M] () -- C:\Programme\Winamp\winampa.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] --  -- (CLTNetCnService)
SRV - [2012.01.03 14:10:42 | 000,063,928 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2011.11.22 14:20:17 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2011.11.22 14:20:04 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Program Files\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.05.21 05:01:00 | 002,214,504 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe -- (nvUpdatusService)
SRV - [2008.01.19 08:38:24 | 000,272,952 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2007.01.24 11:21:24 | 000,375,176 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\WindowsMobile\wcescomm.dll -- (WcesComm)
SRV - [2007.01.24 11:21:14 | 000,177,032 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\WindowsMobile\rapimgr.dll -- (RapiMgr)
SRV - [2006.11.18 07:01:26 | 000,195,032 | ---- | M] (Intel(R) Corporation) [On_Demand | Stopped] -- C:\Program Files\Intel\IntelDH\CCU\AlertService.exe -- (AlertService) Intel(R)
SRV - [2006.11.18 07:00:48 | 000,550,872 | ---- | M] (Intel(R) Corporation) [On_Demand | Stopped] -- C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\Remote UI Service.exe -- (Remote UI Service) Intel(R)
SRV - [2006.11.18 07:00:06 | 000,174,552 | ---- | M] (Intel(R) Corporation) [On_Demand | Stopped] -- C:\Program Files\Intel\IntelDH\Intel Media Server\Shells\MCLServiceATL.exe -- (MCLServiceATL) Intel(R)
SRV - [2006.11.18 06:59:50 | 000,036,312 | ---- | M] (Intel(R) Corporation) [Auto | Stopped] -- C:\Program Files\Intel\IntelDH\Intel Media Server\Tools\IntelDHSvcConf.exe -- (IntelDHSvcConf)
SRV - [2006.11.18 06:59:38 | 000,081,880 | ---- | M] (Intel(R) Corporation) [On_Demand | Stopped] -- C:\Program Files\Intel\IntelDH\Intel Media Server\Media Server\bin\ISSM.exe -- (ISSM) Intel(R)
SRV - [2006.11.18 06:59:02 | 000,032,216 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\Intel\IntelDH\Intel Media Server\Media Server\bin\mediaserver.exe -- (M1 Server) Intel(R) Viiv(TM)
SRV - [2006.11.14 16:07:08 | 000,204,800 | ---- | M] (Fujitsu Siemens Computers) [Auto | Running] -- C:\FirstSteps\OnlineDiagnostic\TestManager\TestHandler.exe -- (TestHandler)
SRV - [2006.10.29 09:03:30 | 000,208,896 | ---- | M] () [Auto | Running] -- C:\Program Files\Common Files\Intel\IntelDH\NMS\AdpPlugins\DQLWinService.exe -- (DQLWinService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (SDDMI2)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (IpInIp)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (catchme)
DRV - [2012.02.15 19:12:44 | 000,137,416 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.11.22 14:20:32 | 000,074,640 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.11.22 14:20:32 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.05.21 05:01:00 | 010,589,800 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2010.06.17 14:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.04.11 05:42:52 | 000,031,616 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WINUSB)
DRV - [2008.01.19 05:25:05 | 000,220,672 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\e1e6032.sys -- (e1express) Intel(R)
DRV - [2007.02.19 11:16:20 | 000,005,504 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\IntelDH.sys -- (IntelDH)
DRV - [2006.12.20 11:18:22 | 000,217,600 | ---- | M] (Silicon Integrated Systems Corp.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\sis163u.sys -- (SIS163u)
DRV - [2006.11.18 07:01:08 | 000,018,904 | ---- | M] () [File_System | On_Demand | Stopped] -- C:\Programme\Intel\IntelDH\Intel Media Server\Media Server\bin\TSHWMDTCP.sys -- (TSHWMDTCP)
DRV - [2006.10.30 16:53:32 | 000,044,416 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\HECI.sys -- (HECI) Intel(R)
DRV - [2006.10.19 15:49:48 | 000,007,424 | --S- | M] (Gteko Ltd.) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\nmsunidr.sys -- (nmsunidr)
DRV - [2006.09.27 16:37:24 | 000,028,672 | --S- | M] (Gteko Ltd.) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\nmsgopro.sys -- (nmsgopro)
DRV - [2006.07.14 13:55:34 | 000,105,088 | ---- | M] (NVIDIA Corporation) [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\nvatabus.sys -- (nvatabus)
DRV - [2006.06.16 14:16:58 | 000,207,424 | ---- | M] (Hauppauge Computer Works, Inc) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\hcw88bda.sys -- (HCW88BDA)
DRV - [2006.06.16 12:35:16 | 000,011,970 | ---- | M] (Hauppauge Computer Works, Inc) [Kernel | System | Running] -- C:\Windows\System32\drivers\hcw88aud.sys -- (HCW88AUD)
DRV - [2006.06.16 12:34:56 | 000,299,843 | ---- | M] (Hauppauge Computer Works, Inc) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\hcw88tse.sys -- (HCW88TSE)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = BD 9D 59 47 DC FB CC 01  [binary data]
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {ABDE892B-13A8-4d1b-88E6-365A6E755758}:14.0.3
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=12.0.1.666: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=12.0.1.666: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpchromebrowserrecordext;version=12.0.1.666: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprpchromebrowserrecordext.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprphtml5videoshim;version=12.0.1.666: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=12.0.1.666: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.7: C:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext [2011.08.20 20:11:25 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2011.12.24 09:00:56 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 9.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2012.01.14 21:56:42 | 000,000,000 | ---D | M]
 
[2008.06.29 11:55:27 | 000,000,000 | ---D | M] (No name found) -- C:\Users\A****\AppData\Roaming\mozilla\Extensions
[2011.08.20 20:22:48 | 000,000,000 | ---D | M] (No name found) -- C:\Users\A****\AppData\Roaming\mozilla\Firefox\Profiles\gl6jq6a3.default\extensions
[2010.09.16 19:55:53 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\A****\AppData\Roaming\mozilla\Firefox\Profiles\gl6jq6a3.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2011.12.10 13:49:03 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2011.08.20 20:11:25 | 000,000,000 | ---D | M] (RealPlayer Browser Record Plugin) -- C:\PROGRAMDATA\REAL\REALPLAYER\BROWSERRECORDPLUGIN\FIREFOX\EXT
[2011.12.24 09:00:56 | 000,121,816 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2011.02.02 21:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Program Files\mozilla firefox\plugins\npdeployJava1.dll
[2011.12.24 09:00:54 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2011.12.24 09:00:54 | 000,002,252 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2011.12.24 09:00:54 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2011.12.24 09:00:54 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2011.12.24 09:00:54 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2011.12.24 09:00:54 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012.02.23 16:19:39 | 000,000,027 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\IE\rpbrowserrecordplugin.dll (RealPlayer)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CCUTRAYICON] FactoryMode File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\Programme\Common Files\Ahead\Lib\NeroCheck.exe (Nero AG)
O4 - HKLM..\Run: [NMSSupport] C:\Program Files\Common Files\Intel\IntelDH\NMS\Support\IntelHCTAgent.exe (Intel Corporation)
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Real\RealPlayer\Update\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe ()
O4 - HKU\S-1-5-21-2889648171-373102870-1120645299-1001..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - HKU\S-1-5-21-2889648171-373102870-1120645299-1005..\Run: [WindowsWelcomeCenter] C:\Windows\System32\oobefldr.dll (Microsoft Corporation)
O4 - Startup: C:\Users\B******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOGS DIARY.lnk = C:\Programme\DOGS DIARY\DOGS DIARY.exe ()
O4 - Startup: C:\Users\B******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe ()
O4 - Startup: C:\Users\G***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOGS DIARY.lnk = C:\Programme\DOGS DIARY\DOGS DIARY.exe ()
O4 - Startup: C:\Users\M******\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DOGS DIARY.lnk = C:\Programme\DOGS DIARY\DOGS DIARY.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-2889648171-373102870-1120645299-1005\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra Button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4E087E8C-CDB3-41FC-A355-829A804F0E96}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - c:\Programme\Common Files\microsoft shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\!SASWinLogon: DllName - (C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL) -  File not found
O24 - Desktop WallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O24 - Desktop BackupWallPaper: C:\Windows\Web\Wallpaper\img24.jpg
O28 - HKLM ShellExecuteHooks: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - C:\Program Files\SUPERAntiSpyware\SASSEH.DLL File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.02.26 19:11:43 | 000,141,824 | ---- | M] () - L:\Automatische_Wiedergabe.doc -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O37 - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\...com [@ = comfile] -- Reg Error: Key error. File not found
O37 - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\...exe [@ = exefile] -- Reg Error: Key error. File not found
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias - C:\Windows\System32\ias.dll (Microsoft Corporation)
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
 
SafeBootMin: AppMgmt -  File not found
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: HelpSvc - Service
SafeBootMin: NTDS -  File not found
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: sacsvr - Service
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: WinDefend - C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
SafeBootNet: AppMgmt -  File not found
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: HelpSvc - Service
SafeBootNet: Messenger - Service
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: NTDS -  File not found
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: rdsessmgr - Service
SafeBootNet: sacsvr - Service
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: WinDefend - C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SafeBootNet: WudfPf - Driver
SafeBootNet: WudfUsbccidDriver - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - 
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 11.0
ActiveX: {25FFAAD0-F4A3-4164-95FF-4461E9F35D51} - .NET Framework
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3C3901C5-3455-3E0A-A214-0B093A5070A6} - .NET Framework
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - 
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\Windows\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\Windows\System32\SL_ANET.ACM (Sipro Lab Telecom Inc.)
Drivers32: MSVideo8 - C:\Windows\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.03.08 21:04:19 | 000,594,432 | ---- | C] (OldTimer Tools) -- C:\Users\A****\Desktop\OTL.exe
[2012.03.07 14:22:37 | 000,000,000 | ---D | C] -- C:\Program Files\ESET
[2012.03.06 19:13:42 | 000,000,000 | ---D | C] -- C:\Users\A****\Desktop\TB-Files
[2012.02.27 22:14:11 | 000,000,000 | --SD | C] -- C:\32788R22FWJFW
[2012.02.24 21:24:46 | 000,000,000 | ---D | C] -- C:\Users\A****\AppData\Roaming\SUPERAntiSpyware.com
[2012.02.24 21:23:29 | 000,000,000 | ---D | C] -- C:\ProgramData\SUPERAntiSpyware.com
[2012.02.23 16:22:45 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2012.02.23 16:22:42 | 000,000,000 | ---D | C] -- C:\Users\Ad****\AppData\Local\temp
[2012.02.23 16:02:54 | 000,000,000 | ---D | C] -- C:\Windows\ERDNT
[2012.02.19 18:58:47 | 000,000,000 | ---D | C] -- C:\_OTL
[2012.02.12 16:08:30 | 000,000,000 | ---D | C] -- C:\Users\A****\AppData\Roaming\Malwarebytes
[2012.02.12 16:07:32 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2012.02.12 16:07:31 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.02.12 16:07:31 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.02.12 16:07:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
 
========== Files - Modified Within 30 Days ==========
 
[2012.03.08 21:04:20 | 000,594,432 | ---- | M] (OldTimer Tools) -- C:\Users\A****\Desktop\OTL.exe
[2012.03.08 21:02:37 | 000,001,356 | ---- | M] () -- C:\Users\A****\AppData\Local\d3d9caps.dat
[2012.03.08 21:01:41 | 000,003,296 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.03.08 21:01:41 | 000,003,296 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.03.08 21:01:36 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.03.08 21:01:28 | 2127,040,512 | -HS- | M] () -- C:\hiberfil.sys
[2012.03.08 21:00:27 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2012.03.06 06:49:23 | 000,631,266 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.03.06 06:49:23 | 000,598,290 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.03.06 06:49:23 | 000,126,686 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.03.06 06:49:23 | 000,104,304 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.02.29 20:06:04 | 000,000,059 | ---- | M] () -- C:\Windows\wpd99.drv
[2012.02.23 20:54:12 | 201,287,878 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2012.02.23 16:19:39 | 000,000,027 | ---- | M] () -- C:\Windows\System32\drivers\etc\hosts
[2012.02.15 20:26:35 | 000,407,208 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.02.15 19:12:44 | 000,137,416 | ---- | M] (Avira GmbH) -- C:\Windows\System32\drivers\avipbb.sys
[2012.02.13 21:44:29 | 000,016,558 | ---- | M] () -- C:\Windows\System32\Support.xml
[2012.02.12 16:07:32 | 000,000,912 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
 
========== Files Created - No Company Name ==========
 
[2012.02.22 09:00:55 | 2127,040,512 | -HS- | C] () -- C:\hiberfil.sys
[2012.02.12 16:07:32 | 000,000,912 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2011.09.24 12:38:59 | 000,001,356 | ---- | C] () -- C:\Users\A****\AppData\Local\d3d9caps.dat
[2011.03.26 14:08:36 | 000,000,124 | ---- | C] () -- C:\Windows\compedia.ini
 
========== LOP Check ==========
 
[2009.09.10 21:31:15 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\ALDI_SUED_Mah_Jong
[2009.03.01 10:13:00 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Buhl Data Service
[2011.03.26 14:08:51 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Gamelab
[2009.04.14 20:08:36 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\GoPal Assistant
[2007.07.08 10:25:18 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Nikon
[2011.12.10 13:58:54 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Opera
[2007.07.20 19:19:40 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\pdf995
[2008.01.23 20:45:07 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\WEBDE
[2007.07.12 20:00:16 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\XnView
[2009.07.23 15:34:47 | 000,000,000 | ---D | M] -- C:\Users\B******\AppData\Roaming\ALDI_SUED_Mah_Jong
[2010.11.14 17:22:55 | 000,000,000 | ---D | M] -- C:\Users\B******\AppData\Roaming\BOM
[2010.09.14 19:58:06 | 000,000,000 | ---D | M] -- C:\Users\B******\AppData\Roaming\com.adobe.example.diary.AC2D34E49418B393981766FA31245F1D30E4A56D.1
[2007.07.08 16:31:08 | 000,000,000 | ---D | M] -- C:\Users\B******\AppData\Roaming\Nikon
[2011.03.08 19:35:30 | 000,000,000 | ---D | M] -- C:\Users\B******\AppData\Roaming\OpenOffice.org
[2012.02.08 00:09:41 | 000,000,000 | ---D | M] -- C:\Users\B******\AppData\Roaming\Opera
[2012.01.14 21:22:38 | 000,000,000 | ---D | M] -- C:\Users\B******\AppData\Roaming\pdf995
[2008.01.06 16:47:13 | 000,000,000 | ---D | M] -- C:\Users\B******\AppData\Roaming\WEBDE
[2011.08.24 18:38:14 | 000,000,000 | ---D | M] -- C:\Users\B******\AppData\Roaming\XnView
[2011.06.25 17:52:17 | 000,000,000 | ---D | M] -- C:\Users\G***\AppData\Roaming\BOM
[2010.09.14 19:54:09 | 000,000,000 | ---D | M] -- C:\Users\G***\AppData\Roaming\com.adobe.example.diary.AC2D34E49418B393981766FA31245F1D30E4A56D.1
[2011.09.08 18:39:14 | 000,000,000 | ---D | M] -- C:\Users\G***\AppData\Roaming\Gamelab
[2009.03.10 22:05:36 | 000,000,000 | ---D | M] -- C:\Users\G***\AppData\Roaming\Nikon
[2011.06.09 18:07:23 | 000,000,000 | ---D | M] -- C:\Users\G***\AppData\Roaming\OpenOffice.org
[2012.01.01 17:26:21 | 000,000,000 | ---D | M] -- C:\Users\G***\AppData\Roaming\Opera
[2008.01.16 20:44:36 | 000,000,000 | ---D | M] -- C:\Users\M******\AppData\Roaming\BOM
[2010.09.14 18:27:26 | 000,000,000 | ---D | M] -- C:\Users\M******\AppData\Roaming\com.adobe.example.diary.AC2D34E49418B393981766FA31245F1D30E4A56D.1
[2011.04.29 14:53:34 | 000,000,000 | ---D | M] -- C:\Users\M******\AppData\Roaming\Gamelab
[2007.09.10 20:42:50 | 000,000,000 | ---D | M] -- C:\Users\M******\AppData\Roaming\GoPal Assistant
[2009.09.17 21:34:53 | 000,000,000 | ---D | M] -- C:\Users\M******\AppData\Roaming\Itsth
[2007.07.08 14:30:48 | 000,000,000 | ---D | M] -- C:\Users\M******\AppData\Roaming\Nikon
[2011.03.02 20:45:03 | 000,000,000 | ---D | M] -- C:\Users\M******\AppData\Roaming\OpenOffice.org
[2011.12.10 14:04:47 | 000,000,000 | ---D | M] -- C:\Users\M******\AppData\Roaming\Opera
[2007.07.20 19:24:34 | 000,000,000 | ---D | M] -- C:\Users\M******\AppData\Roaming\pdf995
[2007.08.18 21:07:46 | 000,000,000 | ---D | M] -- C:\Users\M******\AppData\Roaming\WEBDE
[2012.03.07 13:43:52 | 000,000,000 | ---D | M] -- C:\Users\M******\AppData\Roaming\XnView
[2012.03.08 21:00:28 | 000,032,514 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2010.09.14 18:27:14 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Adobe
[2009.09.10 21:31:15 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\ALDI_SUED_Mah_Jong
[2011.12.10 11:41:57 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Apple Computer
[2007.07.08 10:26:21 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\ArcSoft
[2011.12.10 13:59:32 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Avira
[2009.03.01 10:13:00 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Buhl Data Service
[2007.07.10 20:09:40 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\ESTsoft
[2011.03.26 14:08:51 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Gamelab
[2009.04.14 20:08:36 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\GoPal Assistant
[2007.05.20 12:55:48 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\GTek
[2007.05.20 12:55:29 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Identities
[2009.03.01 10:09:04 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\InstallShield
[2009.03.01 10:10:58 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\InstallShield Installation Information
[2007.06.06 20:47:29 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Macromedia
[2012.02.12 16:08:30 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Malwarebytes
[2006.11.02 13:37:34 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Media Center Programs
[2008.01.12 13:25:32 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Media Player Classic
[2007.07.20 19:18:02 | 000,000,000 | --SD | M] -- C:\Users\A****\AppData\Roaming\Microsoft
[2007.06.27 20:45:14 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Microsoft Web Folders
[2008.06.29 11:55:27 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Mozilla
[2007.07.08 10:25:18 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Nikon
[2011.12.10 13:58:54 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Opera
[2007.07.20 19:19:40 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\pdf995
[2011.08.20 20:11:51 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Real
[2012.02.24 21:24:46 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\SUPERAntiSpyware.com
[2008.01.23 20:45:07 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\WEBDE
[2008.01.15 21:51:34 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Winamp
[2007.07.12 20:00:16 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\XnView
[2007.06.27 20:54:28 | 000,000,000 | ---D | M] -- C:\Users\A****\AppData\Roaming\Yahoo!
 
< %APPDATA%\*.exe /s >
[2009.04.14 20:16:23 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\1664B217-881B-4F73-B3A5-E2C63E7D144C\AutoRunCE.exe
[2009.04.14 20:22:11 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\1664B217-881B-4F73-B3A5-E2C63E7D144C\1\module.exe
[2009.04.14 20:16:08 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\269DEC18-BB9D-410F-831E-6E2E93E78040\AutoRunCE.exe
[2009.04.14 20:22:36 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\269DEC18-BB9D-410F-831E-6E2E93E78040\1\module.exe
[2009.04.14 20:16:14 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\2B29CC15-A133-4002-9E43-A06E00300331\AutoRunCE.exe
[2009.04.14 20:22:59 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\2B29CC15-A133-4002-9E43-A06E00300331\1\module.exe
[2009.04.14 20:16:25 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\2CAFB22D-FBEB-47CC-ABDD-1484948E84BC\AutoRunCE.exe
[2009.04.14 20:23:34 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\2CAFB22D-FBEB-47CC-ABDD-1484948E84BC\1\module.exe
[2009.04.14 20:16:00 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\38A8E475-11F6-4470-9C91-9EA6CF28C996\AutoRunCE.exe
[2009.04.14 20:23:59 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\38A8E475-11F6-4470-9C91-9EA6CF28C996\1\module.exe
[2009.04.14 20:15:43 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\3EC37726-6069-4490-A12F-53A7C90F34D2\AutoRunCE.exe
[2009.04.14 20:21:39 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\3EC37726-6069-4490-A12F-53A7C90F34D2\1\module.exe
[2009.04.14 20:16:40 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\581525E9-65F4-4A87-9F71-60CE91C954AA\AutoRunCE.exe
[2009.04.14 20:24:22 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\581525E9-65F4-4A87-9F71-60CE91C954AA\1\module.exe
[2009.04.14 20:16:48 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\68E89AA7-F52C-4601-A82F-3AD413ED57DD\AutoRunCE.exe
[2009.04.14 20:24:45 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\68E89AA7-F52C-4601-A82F-3AD413ED57DD\1\module.exe
[2009.04.14 20:16:20 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\72109FA9-F003-4A96-8EE8-7E15162A30DD\AutoRunCE.exe
[2009.04.14 20:25:16 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\72109FA9-F003-4A96-8EE8-7E15162A30DD\1\module.exe
[2009.04.14 20:16:28 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\79B9A785-0285-49BB-A6B9-ECB4B0076601\AutoRunCE.exe
[2009.04.14 20:25:47 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\79B9A785-0285-49BB-A6B9-ECB4B0076601\1\module.exe
[2009.04.14 20:16:11 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\81FACBBE-1322-4FED-BDCF-9DCE3786BE61\AutoRunCE.exe
[2009.04.14 20:26:18 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\81FACBBE-1322-4FED-BDCF-9DCE3786BE61\1\module.exe
[2009.04.14 20:16:03 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\9B3D7F9B-6246-4D09-8F10-9028213532B0\AutoRunCE.exe
[2009.04.14 20:26:51 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\9B3D7F9B-6246-4D09-8F10-9028213532B0\1\module.exe
[2009.04.14 20:16:33 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\A55D995A-58AE-4FB8-B43E-813EF611EF51\AutoRunCE.exe
[2009.04.14 20:27:14 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\A55D995A-58AE-4FB8-B43E-813EF611EF51\1\module.exe
[2009.04.14 20:16:31 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\AED7E76F-009D-4961-9630-2705346D781A\AutoRunCE.exe
[2009.04.14 20:27:39 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\AED7E76F-009D-4961-9630-2705346D781A\1\module.exe
[2009.04.14 20:16:37 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\D536D78F-93FB-4343-BE82-1BEDE899E7FB\AutoRunCE.exe
[2009.04.14 20:28:05 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\D536D78F-93FB-4343-BE82-1BEDE899E7FB\1\module.exe
[2009.04.14 20:16:17 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\D6707F13-395D-487E-9EAE-CE05CEAF554F\AutoRunCE.exe
[2009.04.14 20:28:35 | 000,060,928 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\D6707F13-395D-487E-9EAE-CE05CEAF554F\1\module.exe
[2009.04.14 20:16:43 | 000,008,192 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\F28B7D66-3327-4956-8237-9B3232515733\AutoRunCE.exe
[2009.04.14 20:16:46 | 000,061,440 | ---- | M] () -- C:\Users\A****\AppData\Roaming\GoPal Assistant\Library\F28B7D66-3327-4956-8237-9B3232515733\1\module.exe
[2008.11.07 16:00:00 | 000,455,600 | ---- | M] (Macrovision Corporation) -- C:\Users\A****\AppData\Roaming\InstallShield Installation Information\{00C58EBE-223E-4AB6-8AE9-38F27F4420BD}\setup.exe
[2011.11.14 21:14:39 | 000,053,632 | ---- | M] (Adobe Systems Inc.) -- C:\Users\A****\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe
[2010.05.12 20:28:32 | 000,443,912 | ---- | M] (RealNetworks, Inc.) -- C:\Users\A****\AppData\Roaming\Real\Update\setup3.10\setup.exe
[2010.09.16 19:56:15 | 000,456,200 | ---- | M] (RealNetworks, Inc.) -- C:\Users\A****\AppData\Roaming\Real\Update\setup3.12\setup.exe
[2011.07.14 17:42:24 | 000,310,400 | ---- | M] (RealNetworks, Inc.) -- C:\Users\A****\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\8.00\rnupgagent.exe
[2011.07.19 18:22:51 | 000,676,624 | ---- | M] (RealNetworks, Inc.) -- C:\Users\A****\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\8.00\stub_exe\RealPlayer_de.exe
 
< %SYSTEMDRIVE%\*.exe >
 
 
< MD5 for: AGP440.SYS  >
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_51b95d75\AGP440.sys
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_f750e484\AGP440.sys
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6001.18000_none_ba12ed3bbeb0d97a\AGP440.sys
[2008.01.19 08:42:25 | 000,056,376 | ---- | M] (Microsoft Corporation) MD5=13F9E33747E6B41A3FF305C37DB0D360 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6002.18005_none_bbfe6647bbd2a4c6\AGP440.sys
[2007.02.19 10:55:09 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=8B10CE1C1F9F1D47E4DEB1A547A00CD4 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_8ed06b47\AGP440.sys
[2007.02.19 10:55:09 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=8B10CE1C1F9F1D47E4DEB1A547A00CD4 -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6000.16400_none_b82caac9c18a4e3b\AGP440.sys
[2007.02.19 10:55:09 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=BF34B4A0E0B64440C5389AA6B902F4AD -- C:\Windows\winsxs\x86_machine.inf_31bf3856ad364e35_6.0.6000.20496_none_b85af81edaeb8461\AGP440.sys
[2006.11.02 10:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\ERDNT\cache\AGP440.sys
[2006.11.02 10:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\drivers\AGP440.sys
[2006.11.02 10:49:52 | 000,053,864 | ---- | M] (Microsoft Corporation) MD5=EF23439CDD587F64C2C1B8825CEAD7D8 -- C:\Windows\System32\DriverStore\FileRepository\machine.inf_920a2c1f\AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2009.04.11 07:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_b12d8e84\atapi.sys
[2009.04.11 07:32:26 | 000,019,944 | ---- | M] (Microsoft Corporation) MD5=1F05B78AB91C9075565A9D8A4B880BC4 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6002.18005_none_df23a1261eab99e8\atapi.sys
[2008.01.19 08:41:30 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_cc18792d\atapi.sys
[2008.01.19 08:41:30 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=2D9C903DC76A66813D350A562DE40ED9 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6001.18000_none_dd38281a2189ce9c\atapi.sys
[2006.11.02 10:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\ERDNT\cache\atapi.sys
[2006.11.02 10:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\System32\drivers\atapi.sys
[2006.11.02 10:49:36 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=4F4FCB8B6EA06784FB6D475B7EC7300F -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_c6c2e699\atapi.sys
[2007.02.19 10:56:28 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=5653737BAD8C6C10136451C195C19881 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20485_none_db8a029f3dbd443b\atapi.sys
[2007.02.19 10:56:28 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=A779CA2C76DA4FCB595E692C05E8E4EB -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_82339ef2\atapi.sys
[2007.02.19 10:56:28 | 000,019,048 | ---- | M] (Microsoft Corporation) MD5=A779CA2C76DA4FCB595E692C05E8E4EB -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16391_none_daf194c024ab5b06\atapi.sys
[2008.02.13 22:42:38 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=B35CFCEF838382AB6490B321C87EDF17 -- C:\Windows\System32\DriverStore\FileRepository\mshdc.inf_7de13c21\atapi.sys
[2008.02.13 22:42:38 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=B35CFCEF838382AB6490B321C87EDF17 -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.16632_none_db337a442479c42c\atapi.sys
[2008.02.13 22:42:38 | 000,021,560 | ---- | M] (Microsoft Corporation) MD5=E03E8C99D15D0381E02743C36AFC7C6F -- C:\Windows\winsxs\x86_mshdc.inf_31bf3856ad364e35_6.0.6000.20757_none_dbac78a93da31a8b\atapi.sys
 
< MD5 for: CNGAUDIT.DLL  >
[2006.11.02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\ERDNT\cache\cngaudit.dll
[2006.11.02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\System32\cngaudit.dll
[2006.11.02 10:46:03 | 000,011,776 | ---- | M] (Microsoft Corporation) MD5=7F15B4953378C8B5161D65C26D5FED4D -- C:\Windows\winsxs\x86_microsoft-windows-cngaudit-dll_31bf3856ad364e35_6.0.6000.16386_none_e62d292932a96ce6\cngaudit.dll
 
< MD5 for: IASTOR.SYS  >
[2006.05.11 10:30:52 | 000,247,808 | ---- | M] (Intel Corporation) MD5=294110966CEDD127629C5BE48367C8CF -- C:\Windows\System32\DriverStore\FileRepository\iaahci.inf_6c3369af\iaStor.sys
[2006.05.11 10:30:52 | 000,247,808 | ---- | M] (Intel Corporation) MD5=294110966CEDD127629C5BE48367C8CF -- C:\Windows\System32\DriverStore\FileRepository\iastor.inf_0d20ce62\iaStor.sys
[2006.10.31 13:46:36 | 000,250,368 | ---- | M] (Intel Corporation) MD5=DE01BF14FFB150C779FD561BD0E3C5C5 -- C:\DRIVER\SATA\INTEL\iaStor.sys
[2006.10.31 13:46:36 | 000,250,368 | ---- | M] (Intel Corporation) MD5=DE01BF14FFB150C779FD561BD0E3C5C5 -- C:\Windows\System32\drivers\iaStor.sys
[2006.10.31 13:46:36 | 000,250,368 | ---- | M] (Intel Corporation) MD5=DE01BF14FFB150C779FD561BD0E3C5C5 -- C:\Windows\System32\DriverStore\FileRepository\iaahci.inf_3bb7bc45\iaStor.sys
 
< MD5 for: IASTORV.SYS  >
[2008.01.19 08:42:51 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_c9df7691\iaStorV.sys
[2008.01.19 08:42:51 | 000,235,064 | ---- | M] (Intel Corporation) MD5=54155EA1B0DF185878E0FC9EC3AC3A14 -- C:\Windows\winsxs\x86_iastorv.inf_31bf3856ad364e35_6.0.6001.18000_none_af11527887c7fa8f\iaStorV.sys
[2006.11.02 10:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\drivers\iaStorV.sys
[2006.11.02 10:51:25 | 000,232,040 | ---- | M] (Intel Corporation) MD5=C957BF4B5D80B46C5017BF0101E6C906 -- C:\Windows\System32\DriverStore\FileRepository\iastorv.inf_37cdafa4\iaStorV.sys
 
< MD5 for: NETLOGON.DLL  >
[2006.11.02 10:46:11 | 000,559,616 | ---- | M] (Microsoft Corporation) MD5=889A2C9F2AACCD8F64EF50AC0B3D553B -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6000.16386_none_fb80f5473b0ed783\netlogon.dll
[2009.04.11 07:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\ERDNT\cache\netlogon.dll
[2009.04.11 07:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\System32\netlogon.dll
[2009.04.11 07:28:23 | 000,592,896 | ---- | M] (Microsoft Corporation) MD5=95DAECF0FB120A7B5DA679CC54E37DDE -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6002.18005_none_ffa3304f351bb3a3\netlogon.dll
[2008.01.19 08:35:36 | 000,592,384 | ---- | M] (Microsoft Corporation) MD5=A8EFC0B6E75B789F7FD3BA5025D4E37F -- C:\Windows\winsxs\x86_microsoft-windows-security-netlogon_31bf3856ad364e35_6.0.6001.18000_none_fdb7b74337f9e857\netlogon.dll
 
< MD5 for: NVATABUS.SYS  >
[2006.07.14 13:55:34 | 000,105,088 | ---- | M] (NVIDIA Corporation) MD5=7D960340BE5B0E008BB94E4C3B991339 -- C:\Windows\System32\drivers\nvatabus.sys
[2006.07.14 13:55:34 | 000,105,088 | ---- | M] (NVIDIA Corporation) MD5=7D960340BE5B0E008BB94E4C3B991339 -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_27229839\nvatabus.sys
 
< MD5 for: NVSTOR.SYS  >
[2006.11.02 10:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\drivers\nvstor.sys
[2006.11.02 10:50:13 | 000,040,040 | ---- | M] (NVIDIA Corporation) MD5=9E0BA19A28C498A6D323D065DB76DFFC -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_733654ff\nvstor.sys
[2008.01.19 08:42:09 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\System32\DriverStore\FileRepository\nvraid.inf_31c3d71d\nvstor.sys
[2008.01.19 08:42:09 | 000,045,112 | ---- | M] (NVIDIA Corporation) MD5=ABED0C09758D1D97DB0042DBB2688177 -- C:\Windows\winsxs\x86_nvraid.inf_31bf3856ad364e35_6.0.6001.18000_none_39dac327befea467\nvstor.sys
 
< MD5 for: SCECLI.DLL  >
[2008.01.19 08:36:19 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=28B84EB538F7E8A0FE8B9299D591E0B9 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6001.18000_none_380de25bd91b6f12\scecli.dll
[2006.11.02 10:46:12 | 000,176,640 | ---- | M] (Microsoft Corporation) MD5=80E2839D05CA5970A86D7BE2A08BFF61 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6000.16386_none_35d7205fdc305e3e\scecli.dll
[2009.04.11 07:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\ERDNT\cache\scecli.dll
[2009.04.11 07:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\System32\scecli.dll
[2009.04.11 07:28:24 | 000,177,152 | ---- | M] (Microsoft Corporation) MD5=8FC182167381E9915651267044105EE1 -- C:\Windows\winsxs\x86_microsoft-windows-s..urationengineclient_31bf3856ad364e35_6.0.6002.18005_none_39f95b67d63d3a5e\scecli.dll
 
< MD5 for: USER32.DLL  >
[2007.06.15 11:21:36 | 000,633,856 | ---- | M] (Microsoft Corporation) MD5=63B4F59D7C89B1BF5277F1FFEFD491CD -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6000.16438_none_cb39bc5b7047127e\user32.dll
[2009.04.11 07:28:25 | 000,627,712 | ---- | M] (Microsoft Corporation) MD5=75510147B94598407666F4802797C75A -- C:\Windows\ERDNT\cache\user32.dll
[2007.06.15 11:21:36 | 000,633,856 | ---- | M] (Microsoft Corporation) MD5=9D9F061EDA75425FC67F0365E3467C86 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6000.20537_none_cbc258dc896598f1\user32.dll
[2008.01.19 08:36:46 | 000,627,200 | ---- | M] (Microsoft Corporation) MD5=B974D9F06DC7D1908E825DC201681269 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6001.18000_none_cd386c416d5c7f32\user32.dll
[2006.11.02 10:46:13 | 000,633,856 | ---- | M] (Microsoft Corporation) MD5=E698A5437B89A285ACA3FF022356810A -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6000.16386_none_cb01aa4570716e5e\user32.dll
[2009.04.11 07:28:25 | 000,627,712 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\System32\user32.dll
[2009.04.11 07:28:25 | 000,627,712 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.0.6002.18005_none_cf23e54d6a7e4a7e\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.01.19 08:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\ERDNT\cache\userinit.exe
[2008.01.19 08:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\System32\userinit.exe
[2008.01.19 08:33:33 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=0E135526E9785D085BCD9AEDE6FBCBF9 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6001.18000_none_dc28ba15d1aff80b\userinit.exe
[2006.11.02 10:45:50 | 000,024,576 | ---- | M] (Microsoft Corporation) MD5=22027835939F86C3E47AD8E3FBDE3D11 -- C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.0.6000.16386_none_d9f1f819d4c4e737\userinit.exe
 
< MD5 for: VIAMRAID.SYS  >
[2006.03.31 01:18:30 | 000,100,992 | ---- | M] (VIA Technologies inc,.ltd) MD5=9F3F276C7300ED211129757A411B605F -- C:\Windows\System32\drivers\viamraid.sys
[2006.03.31 01:18:30 | 000,100,992 | ---- | M] (VIA Technologies inc,.ltd) MD5=9F3F276C7300ED211129757A411B605F -- C:\Windows\System32\DriverStore\FileRepository\viamraid.inf_2d6a7e3a\viamraid.sys
 
< MD5 for: WININIT.EXE  >
[2008.01.19 08:33:37 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\ERDNT\cache\wininit.exe
[2008.01.19 08:33:37 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\System32\wininit.exe
[2008.01.19 08:33:37 | 000,096,768 | ---- | M] (Microsoft Corporation) MD5=101BA3EA053480BB5D957EF37C06B5ED -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
[2006.11.02 10:45:57 | 000,095,744 | ---- | M] (Microsoft Corporation) MD5=D4385B03E8CCCEE6F0EE249F827C1F3E -- C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6000.16386_none_2ebbf6d3076595ce\wininit.exe
 
< MD5 for: WINLOGON.EXE  >
[2012.01.13 14:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2009.04.11 07:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\ERDNT\cache\winlogon.exe
[2009.04.11 07:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\System32\winlogon.exe
[2009.04.11 07:28:13 | 000,314,368 | ---- | M] (Microsoft Corporation) MD5=898E7C06A350D4A1A64A9EA264D55452 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6002.18005_none_71ae7a22d2134741\winlogon.exe
[2006.11.02 10:45:57 | 000,308,224 | ---- | M] (Microsoft Corporation) MD5=9F75392B9128A91ABAFB044EA350BAAD -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6000.16386_none_6d8c3f1ad8066b21\winlogon.exe
[2008.01.19 08:33:37 | 000,314,880 | ---- | M] (Microsoft Corporation) MD5=C2610B6BDBEFC053BBDAB4F1B965CB24 -- C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.0.6001.18000_none_6fc30116d4f17bf5\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2006.11.02 09:58:26 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=84620AECDCFD2A7A14E6263927D8C0ED -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6000.16386_none_4d4fded8cae2956d\ws2ifsl.sys
[2008.01.19 06:56:49 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\System32\drivers\ws2ifsl.sys
[2008.01.19 06:56:49 | 000,015,872 | ---- | M] (Microsoft Corporation) MD5=E3A3CB253C0EC2494D4A61F5E43A389C -- C:\Windows\winsxs\x86_microsoft-windows-w..rastructure-ws2ifsl_31bf3856ad364e35_6.0.6001.18000_none_4f86a0d4c7cda641\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2007.02.19 10:26:21 | 006,664,192 | ---- | M] () -- C:\Windows\System32\config\COMPONENTS.SAV
[2007.02.19 10:26:18 | 000,102,400 | ---- | M] () -- C:\Windows\System32\config\DEFAULT.SAV
[2007.02.19 10:26:21 | 000,020,480 | ---- | M] () -- C:\Windows\System32\config\SECURITY.SAV
[2007.02.19 10:26:37 | 015,720,448 | ---- | M] () -- C:\Windows\System32\config\SOFTWARE.SAV
[2007.02.19 10:26:41 | 006,017,024 | ---- | M] () -- C:\Windows\System32\config\SYSTEM.SAV
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[2011.08.20 20:25:39 | 000,353,792 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\system32\dxtmsft.dll
[2011.08.20 20:25:39 | 000,223,232 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\Windows\system32\dxtrans.dll
 
<           >

< End of report >

--- --- ---

Vielen Dank im Voraus für die nächsten Anweisungen.

Grüße,
Petain

cosinus · 08.03.2012, 22:50

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = http://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = BD 9D 59 47 DC FB CC 01  [binary data]
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
[2010.09.16 19:55:53 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\A****\AppData\Roaming\mozilla\Firefox\Profiles\gl6jq6a3.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
O4 - HKLM..\Run: [CCUTRAYICON] FactoryMode File not found
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-2889648171-373102870-1120645299-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-2889648171-373102870-1120645299-1005\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2012.02.26 19:11:43 | 000,141,824 | ---- | M] () - L:\Automatische_Wiedergabe.doc -- [ NTFS ]
[2012.02.27 22:14:11 | 000,000,000 | --SD | C] -- C:\32788R22FWJFW
:Commands
[emptytemp]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

08.03.2012, 11:03	#9
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Neue Funde von Avira Antivir! Was nun? Malwarebytes erstellt bei jedem Scanvorgang genau ein Log. Hast du in der Vergangenheit schonmal mit Malwarebytes gescannt? Wenn ja dann stehen auch alle Logs zu jedem Scanvorgang im Reiter Logdateien. Bitte alle posten, die dort sichtbar sind. __________________ Logfiles bitte immer in CODE-Tags posten

08.03.2012, 20:31	#13
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Neue Funde von Avira Antivir! Was nun? Ja weg damit __________________ Logfiles bitte immer in CODE-Tags posten

Neue Funde von Avira Antivir! Was nun?

Plagegeister aller Art und deren Bekämpfung: Neue Funde von Avira Antivir! Was nun?