Bka Trojaner will nicht weichen

cosinus · 28.03.2012, 12:59

Im Log seh ich keine Hinweise mehr auf diese Ransomware

Wollen wir es mal mit OTLPE probieren?

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

petetheheat · 01.04.2012, 12:01

Nach booten von der Cd und starten der OTLPE.exe konnte ich keinen Ordner auswählen. Nach Run Scan kam auch nur folgendes Log:

c:/OTL.txt

Code:

ATTFilter

OTL logfile created on: 4/1/2012 1:39:38 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 87.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 27.95 Gb Total Space | 8.23 Gb Free Space | 29.46% Space Free | Partition Type: NTFS
Drive D: | 83.84 Gb Total Space | 0.42 Gb Free Space | 0.50% Space Free | Partition Type: NTFS
Drive E: | 7.79 Gb Total Space | 0.97 Gb Free Space | 12.44% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet003
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (AppMgmt)
SRV - [2012/01/13 09:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) [Auto] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011/06/28 23:52:26 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/05/25 08:06:20 | 000,037,664 | ---- | M] (Apple Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011/04/28 00:54:18 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010/06/02 10:58:20 | 000,246,520 | ---- | M] () [Auto] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
SRV - [2009/05/06 17:15:00 | 002,785,582 | ---- | M] (INCA Internet Co., Ltd.) [Disabled] -- C:\WINDOWS\System32\GameMon.des -- (npggsvc)
SRV - [2008/10/20 16:18:26 | 000,071,096 | ---- | M] () [Auto] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
SRV - [2007/01/09 11:16:12 | 000,061,440 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Auto] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe -- (MZCCntrl)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/12/10 10:24:06 | 000,020,464 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2011/06/28 23:52:27 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/06/28 23:52:27 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010/06/17 09:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/02/21 22:41:44 | 000,132,424 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sscdmdm.sys -- (sscdmdm)
DRV - [2010/02/21 22:41:44 | 000,104,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sscdbus.sys -- (sscdbus) SAMSUNG USB Composite Device driver (WDM)
DRV - [2010/02/21 22:41:44 | 000,014,920 | ---- | M] (MCCI Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sscdmdfl.sys -- (sscdmdfl)
DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008/04/13 14:53:09 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2006/10/09 10:03:56 | 000,017,152 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MInfraIS\MIINPazx.sys -- (MIINPazX)
DRV - [2006/10/04 03:14:26 | 000,017,280 | ---- | M] (Marmiko IT-Solutions GmbH) [Kernel | On_Demand] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MAcNdis5.sys -- (MACNDIS5)
DRV - [2006/09/01 06:32:50 | 000,003,712 | ---- | M] (Logitech Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\LBeepKE.sys -- (LBeepKE)
DRV - [2006/08/28 11:12:04 | 000,013,312 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MTiCtwl.sys -- (MagicTune)
DRV - [2006/07/19 06:29:08 | 000,027,136 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LHidKE.Sys -- (LHidKe)
DRV - [2006/07/19 06:28:56 | 000,071,936 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LMouKE.Sys -- (LMouKE)
DRV - [2006/07/19 06:28:04 | 000,036,736 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\LHidUsbK.sys -- (LHidUsbK)
DRV - [2006/07/19 06:27:46 | 000,055,936 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\L8042mou.Sys -- (L8042mou)
DRV - [2006/07/19 06:27:26 | 000,013,568 | ---- | M] (Logitech Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\L8042Kbd.SYS -- (L8042Kbd)
DRV - [2005/11/03 10:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02) StarForce Protection VFS Driver (version 2.x)
DRV - [2005/08/10 08:44:04 | 000,050,688 | ---- | M] (Protection Technology) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV - [2005/05/16 09:20:39 | 000,006,656 | ---- | M] (Protection Technology) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)
DRV - [2003/02/14 05:59:00 | 001,169,792 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2000/12/05 09:18:02 | 000,003,952 | ---- | M] (Sony Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\DMICall.sys -- (DMICall)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.sony-europe.com/
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator.DACH_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.sony-europe.com/
IE - HKU\Administrator.DACH_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Hoschie_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://startsear.ch/?aff=1
IE - HKU\Hoschie_ON_C\..\URLSearchHook:  - Reg Error: Key error. File not found
IE - HKU\Hoschie_ON_C\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - Reg Error: Key error. File not found
IE - HKU\Hoschie_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Hoschie_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.sony-europe.com/
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.sony-europe.com/
IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@idsoftware.com/QuakeLive: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\id Software\QuakeLive\npquakezero.dll (id Software Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@rayv.com/rayvplugin: C:\Programme\RayV\RayV\plugins\nprayvplugin.dll (RayV)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.69: C:\Programme\K-Lite Codec Pack\Real\Browser\Plugins\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.69: C:\Programme\K-Lite Codec Pack\Real\Browser\Plugins\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Programme\Veetle\plugins\npVeetle.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Programme\Veetle\Player\npvlc.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@adobe.com/Acrobat,version=5.1:  File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/03/21 07:09:00 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/01/12 18:14:09 | 000,000,000 | ---D | M]
 
[2012/03/20 09:20:48 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\mozilla\Extensions
[2012/03/21 07:09:11 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010/03/30 03:36:25 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
File not found (No name found) -- 
[2012/03/21 07:08:58 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011/10/03 00:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011/10/03 05:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Programme\mozilla firefox\plugins\npvsharetvplg.dll
[2012/03/21 07:08:53 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/03/21 07:08:53 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/03/21 07:08:53 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/03/21 07:08:53 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/03/21 07:08:53 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/03/21 07:08:53 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012/03/27 09:59:22 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1       localhost
O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - No CLSID value found.
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - No CLSID value found.
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found.
O2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - No CLSID value found.
O3 - HKU\Hoschie_ON_C\..\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Launch LGDCore] C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe (Logitech Inc.)
O4 - HKLM..\Run: [Launch LgDeviceAgent] C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe (Logitech Inc.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [OM2_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master 2\FirstStart.exe (OLYMPUS IMAGING CORP.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\.DEFAULT..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
O4 - HKU\Hoschie_ON_C..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKU\Hoschie_ON_C..\Run: [GameXN] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameXN\GameXNGO.exe (EasyBits Software AS)
O4 - HKU\Hoschie_ON_C..\Run: [GameXN (news)] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameXN\GameXNGO.exe (EasyBits Software AS)
O4 - HKU\Hoschie_ON_C..\Run: [GameXN (update)] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameXN\GameXNGO.exe (EasyBits Software AS)
O4 - HKU\Hoschie_ON_C..\Run: [ICQ]  File not found
O4 - HKU\Hoschie_ON_C..\Run: [Octoshape Streaming Services] C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
O4 - HKU\Hoschie_ON_C..\Run: [OM2_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe (OLYMPUS IMAGING CORP.)
O4 - HKU\Hoschie_ON_C..\Run: [RayV] C:\Programme\RayV\RayV\RayV.exe (RayV)
O4 - HKU\Hoschie_ON_C..\Run: [SkypePM] C:\Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe (Twain Working Group)
O4 - HKU\Hoschie_ON_C..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKU\Hoschie_ON_C..\Run: [Steam] d:\programme\steam\steam.exe (Valve Corporation)
O4 - HKU\Hoschie_ON_C..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Hoschie\Startmenü\Programme\Autostart\CurseClientStartup.ccip ()
O4 - Startup: C:\Dokumente und Einstellungen\Hoschie\Startmenü\Programme\Autostart\Dropbox.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\Hoschie\Startmenü\Programme\Autostart\Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Hoschie\Startmenü\Programme\Autostart\Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE ()
O7 - HKU\Hoschie_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - Reg Error: Key error. File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\VAIO DeepSea Wallpaper TrueColor 1024x768.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\VAIO DeepSea Wallpaper TrueColor 1024x768.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/03/28 09:02:31 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Lokale Einstellungen\Anwendungsdaten\Adobe
[2012/03/28 05:35:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Apple Computer
[2012/03/28 05:35:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Lokale Einstellungen\Anwendungsdaten\Apple Computer
[2012/03/27 09:48:55 | 000,000,000 | ---D | C] -- C:\_OTL
[2012/03/27 04:11:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Malwarebytes
[2012/03/25 07:32:22 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Avira
[2012/03/25 07:29:06 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012/03/23 06:37:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip
[2012/03/23 06:37:17 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip
[2012/03/23 06:34:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Startmenü\Programme\WinRAR
[2012/03/23 06:34:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\WinRAR
[2012/03/22 08:25:19 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Startmenü\Programme\Verwaltung
[2012/03/22 08:21:16 | 000,607,260 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\dds.com
[2012/03/22 08:18:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\69886-alle-hilfesuchenden-eroeffnung-themas-beachten-Dateien
[2012/03/21 07:58:23 | 000,594,432 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\OTL.exe
[2012/03/21 06:51:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\DivX
[2012/03/21 06:51:13 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Media Player Classic
[2012/03/21 06:11:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Macromedia
[2012/03/21 06:11:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Adobe
[2012/03/20 09:23:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Malwarebytes
[2012/03/20 09:23:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012/03/20 09:23:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012/03/20 09:23:03 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012/03/20 09:23:03 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012/03/20 09:22:00 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Eigene Dateien\Downloads
[2012/03/20 09:20:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Lokale Einstellungen\Anwendungsdaten\Mozilla
[2012/03/20 09:20:37 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Mozilla
[2012/03/17 13:04:59 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012/03/17 11:04:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2012/03/17 11:02:39 | 000,000,000 | --SD | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Microsoft
[2012/03/17 11:02:39 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten
[2012/03/17 11:02:39 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Favoriten
[2012/03/17 11:02:39 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Eigene Dateien\Eigene Videos
[2012/03/17 11:02:39 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Eigene Dateien\Eigene Musik
[2012/03/17 11:02:39 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Eigene Dateien
[2012/03/17 11:02:39 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Eigene Dateien\Eigene Bilder
[2012/03/17 11:02:39 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Cookies
[2012/03/17 11:02:39 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Druckumgebung
[2012/03/17 11:02:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Real
[2012/03/17 11:02:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Eigene Dateien\My eBooks
[2012/03/17 11:02:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\InterTrust
[2012/03/17 11:02:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Identities
[2012/03/17 11:02:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop
[2012/03/17 11:02:38 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\SendTo
[2012/03/17 11:02:38 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Recent
[2012/03/17 11:02:38 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Startmenü\Programme\Zubehör
[2012/03/17 11:02:38 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Startmenü
[2012/03/17 11:02:38 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Startmenü\Programme\Autostart
[2012/03/17 11:02:38 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Vorlagen
[2012/03/17 11:02:38 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Netzwerkumgebung
[2012/03/17 11:02:38 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Lokale Einstellungen
[2012/03/17 11:02:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Lokale Einstellungen\Anwendungsdaten\WMTools Downloaded Files
[2012/03/17 11:02:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\WINDOWS
[2012/03/17 11:02:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator.DACH\Lokale Einstellungen\Anwendungsdaten\Microsoft
[2012/03/13 05:03:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\LEGO Creations
[2012/03/13 05:03:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\LEGO Company
[2012/03/13 05:01:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\LEGO Company
[1 C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[4341/02/08 09:38:17 | 032,467,048 | ---- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\avira_antivir_personal_de.exe
[2012/03/30 08:21:17 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/03/29 14:11:50 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/03/29 06:17:10 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/03/27 13:07:41 | 000,182,038 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012/03/27 13:04:29 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012/03/27 09:59:22 | 000,000,098 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\Hosts
[2012/03/26 12:52:21 | 000,459,250 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/03/26 12:52:21 | 000,441,552 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/03/26 12:52:21 | 000,084,754 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/03/26 12:52:21 | 000,071,488 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/03/23 06:38:38 | 000,004,580 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\logfiles.zip
[2012/03/23 06:37:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip
[2012/03/23 06:35:07 | 000,004,242 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\logfiles.rar
[2012/03/22 08:24:32 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.DACH\defogger_reenable
[2012/03/22 08:21:57 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\j54rxqi1.exe
[2012/03/22 08:21:19 | 000,607,260 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\dds.com
[2012/03/22 08:19:00 | 000,060,288 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html
[2012/03/21 07:58:24 | 000,594,432 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\OTL.exe
[2012/03/21 07:58:03 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\Defogger.exe
[2012/03/21 07:42:27 | 000,026,112 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/03/20 09:23:06 | 000,000,760 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012/03/20 09:23:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012/03/18 16:55:01 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/03/17 11:25:42 | 000,000,211 | RHS- | M] () -- C:\boot.ini
[2012/03/17 07:28:41 | 000,117,760 | ---- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/03/15 04:30:06 | 000,130,576 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/03/14 18:09:11 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012/03/14 12:38:06 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2012/03/13 05:01:53 | 000,000,833 | ---- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\LEGO Digital Designer.lnk
[2012/03/13 05:01:53 | 000,000,833 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\LEGO Digital Designer.lnk
[2012/03/13 05:01:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\LEGO Company
[1 C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[4341/02/08 09:36:42 | 032,467,048 | ---- | C] () -- C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\avira_antivir_personal_de.exe
[2012/03/23 06:38:38 | 000,004,580 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\logfiles.zip
[2012/03/23 06:35:07 | 000,004,242 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\logfiles.rar
[2012/03/23 06:06:06 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012/03/22 08:24:32 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\defogger_reenable
[2012/03/22 08:21:57 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\j54rxqi1.exe
[2012/03/22 08:18:58 | 000,060,288 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\69886-alle-hilfesuchenden-eroeffnung-themas-beachten.html
[2012/03/21 07:58:02 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\Defogger.exe
[2012/03/20 09:23:06 | 000,000,760 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012/03/17 11:02:40 | 000,000,788 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Windows Media Player.lnk
[2012/03/17 11:02:40 | 000,000,763 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2012/03/17 11:02:40 | 000,000,718 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\QuickTime Player.lnk
[2012/03/17 11:02:40 | 000,000,079 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Desktop anzeigen.scf
[2012/03/17 11:02:39 | 000,026,112 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/03/17 11:02:39 | 000,001,603 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Startmenü\Programme\Remoteunterstützung.lnk
[2012/03/17 11:02:39 | 000,000,751 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Startmenü\Programme\Internet Explorer.lnk
[2012/03/17 11:02:39 | 000,000,722 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.DACH\Startmenü\Programme\Outlook Express.lnk
[2012/03/13 05:01:53 | 000,000,833 | ---- | C] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\LEGO Digital Designer.lnk
[2012/03/13 05:01:53 | 000,000,833 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\LEGO Digital Designer.lnk
[2012/02/15 06:06:52 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012/01/27 15:26:03 | 000,021,336 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2011/07/13 12:58:20 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\$_hpcst$.hpc
[2011/04/21 16:20:20 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI
[2010/12/06 13:51:53 | 000,000,025 | ---- | C] () -- C:\WINDOWS\popcinfot.dat
[2010/10/07 05:31:38 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\drivers\MTiCtwl.sys
[2010/06/30 18:06:41 | 000,141,936 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2009/12/28 10:06:35 | 000,000,048 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2009/05/30 13:55:06 | 000,168,448 | ---- | C] () -- C:\WINDOWS\System32\unrar.dll
[2009/05/30 13:55:03 | 000,000,038 | ---- | C] () -- C:\WINDOWS\avisplitter.ini
[2009/05/30 13:54:51 | 000,795,648 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2009/05/30 13:54:51 | 000,130,048 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2009/05/30 13:54:49 | 003,596,288 | ---- | C] () -- C:\WINDOWS\System32\qt-dx331.dll
[2009/05/30 13:54:37 | 000,084,480 | ---- | C] () -- C:\WINDOWS\System32\ff_vfw.dll
[2009/03/22 10:15:54 | 000,000,258 | ---- | C] () -- C:\WINDOWS\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini
[2009/02/28 06:54:07 | 000,139,152 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2009/02/28 06:54:07 | 000,139,152 | ---- | C] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\PnkBstrK.sys
[2009/02/28 06:53:55 | 000,111,928 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe
[2009/02/28 06:53:51 | 000,794,408 | ---- | C] () -- C:\WINDOWS\System32\pbsvc.exe
[2009/02/28 06:53:51 | 000,075,064 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe
[2009/02/22 12:11:10 | 000,021,840 | ---- | C] () -- C:\WINDOWS\System32\SIntfNT.dll
[2009/02/22 12:11:10 | 000,017,212 | ---- | C] () -- C:\WINDOWS\System32\SIntf32.dll
[2009/02/22 12:11:10 | 000,012,067 | ---- | C] () -- C:\WINDOWS\System32\SIntf16.dll
[2008/12/18 07:22:38 | 000,000,029 | ---- | C] () -- C:\WINDOWS\DEBUGSM.INI
[2008/12/18 06:57:49 | 000,111,932 | ---- | C] () -- C:\WINDOWS\System32\EPPICPrinterDB.dat
[2008/12/18 06:57:49 | 000,021,390 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern5.dat
[2008/12/18 06:57:49 | 000,004,943 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern6.dat
[2008/12/18 06:57:49 | 000,001,146 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_DU.dat
[2008/12/18 06:57:49 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_PT.dat
[2008/12/18 06:57:49 | 000,001,139 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_BP.dat
[2008/12/18 06:57:49 | 000,001,136 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_ES.dat
[2008/12/18 06:57:49 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_FR.dat
[2008/12/18 06:57:49 | 000,001,129 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_CF.dat
[2008/12/18 06:57:49 | 000,001,120 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_IT.dat
[2008/12/18 06:57:49 | 000,001,107 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_GE.dat
[2008/12/18 06:57:49 | 000,001,104 | ---- | C] () -- C:\WINDOWS\System32\EPPICPresetData_EN.dat
[2008/12/18 06:57:49 | 000,000,097 | ---- | C] () -- C:\WINDOWS\System32\PICSDK.ini
[2008/12/18 06:57:48 | 000,031,053 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern131.dat
[2008/12/18 06:57:48 | 000,027,417 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern121.dat
[2008/12/18 06:57:48 | 000,026,154 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern1.dat
[2008/12/18 06:57:48 | 000,024,903 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern3.dat
[2008/12/18 06:57:48 | 000,020,148 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern2.dat
[2008/12/18 06:57:48 | 000,011,811 | ---- | C] () -- C:\WINDOWS\System32\EPPICPattern4.dat
[2008/12/18 06:54:51 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDE RX585DEFGIPS.ini
[2008/10/27 11:00:23 | 000,000,039 | ---- | C] () -- C:\WINDOWS\Irremote.ini
[2008/10/27 08:34:54 | 000,000,085 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\.zreglib
[2008/07/11 18:13:42 | 000,000,069 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2008/07/11 18:13:17 | 000,000,025 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2008/07/07 07:09:54 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2008/07/07 07:01:26 | 000,000,140 | ---- | C] () -- C:\Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/07/07 05:07:43 | 000,117,760 | ---- | C] () -- C:\Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/05/02 23:46:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2008/05/02 23:46:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2008/05/02 23:46:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2008/05/02 23:46:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2008/05/02 23:46:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2008/05/02 23:46:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2007/10/25 11:26:10 | 000,005,632 | ---- | C] () -- C:\WINDOWS\System32\drivers\StarOpen.sys
[2004/08/02 08:20:40 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2003/06/08 09:07:08 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2003/06/08 08:03:09 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\qttask.exe
[2003/06/08 08:02:38 | 000,000,042 | ---- | C] () -- C:\WINDOWS\AcrobatSetupStatus.ini
[2003/06/08 05:40:36 | 000,006,550 | ---- | C] () -- C:\WINDOWS\jautoexp.dat
[2003/06/07 07:51:35 | 000,036,864 | ---- | C] () -- C:\WINDOWS\System32\cbldrm.dll
[2003/06/07 04:35:39 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2003/06/07 04:34:53 | 000,130,576 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2003/06/07 03:46:44 | 000,000,857 | ---- | C] () -- C:\WINDOWS\orun32.ini
[2003/06/07 03:45:23 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll
[2003/06/07 03:44:00 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2003/06/07 03:40:23 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2003/06/07 03:28:59 | 000,002,893 | ---- | C] () -- C:\WINDOWS\System32\oeminfo.ini
[2003/06/07 03:28:49 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2003/06/07 03:28:49 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2003/06/07 03:28:48 | 000,459,250 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2003/06/07 03:28:48 | 000,084,754 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2003/06/07 03:28:26 | 000,441,552 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2003/06/07 03:28:26 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2003/06/07 03:28:26 | 000,071,488 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2003/06/07 03:28:26 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2003/06/07 03:28:25 | 000,004,530 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2003/06/07 03:28:24 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2003/06/07 03:28:21 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003/06/07 03:28:16 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2003/06/07 03:28:15 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2003/06/07 03:28:06 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2003/06/07 03:27:55 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\dcache.bin
[2003/04/24 08:04:33 | 001,630,208 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2003/04/24 08:04:33 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2003/04/24 08:04:33 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2003/02/02 23:26:18 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\e100bmsg.dll
[1997/01/16 18:00:00 | 000,022,016 | ---- | C] () -- C:\WINDOWS\System32\DOCOBJ.DLL
[1997/01/16 18:00:00 | 000,012,288 | ---- | C] () -- C:\WINDOWS\System32\HLINKPRX.DLL
 
========== LOP Check ==========
 
[2003/06/08 08:02:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.DACH\Anwendungsdaten\InterTrust
[2012/01/21 11:28:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\.minecraft
[2008/10/27 07:04:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Ashampoo
[2008/12/24 14:08:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Canneverbe_Limited
[2012/03/27 13:09:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Dropbox
[2010/12/24 05:59:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\EPSON
[2012/03/27 13:08:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\go
[2012/03/16 06:50:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\ICQ
[2009/02/28 07:02:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\id Software
[2003/06/08 08:02:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\InterTrust
[2008/09/18 03:57:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\IrfanView
[2012/03/13 05:03:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\LEGO Company
[2012/01/09 14:27:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\LolClient
[2008/09/11 12:10:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mp3tag
[2010/01/16 06:17:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Octoshape
[2012/03/27 13:07:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\RayV
[2011/07/13 12:58:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Samsung
[2010/05/28 15:55:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\ScummVM
[2008/07/07 07:04:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\T-Online
[2011/09/18 11:26:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Unity
[2009/07/05 12:38:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\XnView
[2008/10/27 07:02:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
[2011/09/01 10:22:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Easybits GO
[2008/10/27 08:44:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Elaborate Bytes
[2008/12/18 06:57:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2012/03/27 13:08:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameXN
[2010/06/17 04:42:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
[2009/03/12 15:34:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\id Software
[2012/02/21 13:02:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PMB Files
[2010/12/05 15:04:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PopCap Games
[2011/07/13 12:58:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung
[2008/07/07 06:59:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
[2009/08/19 06:25:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2008/12/18 07:01:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2011/08/31 12:41:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 20 bytes -> C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\PAVARK.exe:License
@Alternate Data Stream - 20 bytes -> C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\antirootkit.exe:License
< End of report >

cosinus · 02.04.2012, 10:52

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
O4 - HKU\Hoschie_ON_C..\Run: [SkypePM] C:\Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe (Twain Working Group)
O4 - HKU\Hoschie_ON_C..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
@Alternate Data Stream - 20 bytes -> C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\PAVARK.exe:License
@Alternate Data Stream - 20 bytes -> C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\antirootkit.exe:License
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html
4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

petetheheat · 02.04.2012, 13:35

das log gibts jetzt in 2 Codes, da ich es zuerst versehentlich ohne Booten von Cd der Otlp.exe gemacht hatte:

Code:

ATTFilter

========== OTL ==========
Registry key HKEY_USERS\Hoschie_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe moved successfully.
Registry key HKEY_USERS\Hoschie_ON_C\Software\Microsoft\Windows\CurrentVersion\Run not found.
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe moved successfully.
ADS C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\PAVARK.exe:License deleted successfully.
ADS C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\antirootkit.exe:License deleted successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.39.1 log created on 04022012_143508

Code:

ATTFilter

========== OTL ==========
Registry value HKEY_USERS\Hoschie_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\SkypePM deleted successfully.
File C:\Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe not found.
Registry value HKEY_USERS\Hoschie_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer deleted successfully.
File C:\Programme\Spybot - Search & Destroy\TeaTimer.exe not found.
Unable to delete ADS C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\PAVARK.exe:License .
Unable to delete ADS C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\antirootkit.exe:License .
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 04022012_154923

Den moved files ordner-zip lade ich jetzt noch im Upload Channel hoch.
Werde jetzt nochmal Malwarebytes durchlaufen lassen.

Soweit scheint alles zu laufen wieder, jedoch hatte ich meinen Rechner schonmal wieder im normalen Modus starten können - kurze Zeit später ging da dann aber auch schon nichts mehr. Ich hoffe das ist diesmal nicht der Fall =)

Vielen Dank schonmal für deine Hilfe und deine Mühe. Gibt es noch irgendwelche Dinge die ich unternehmen kann um mein System sicherer zu machen?

mfg

cosinus · 02.04.2012, 14:35

Zitat:

Werde jetzt nochmal Malwarebytes durchlaufen lassen.

Log posten wenn fertig!
Führ bitte auch ESET aus, danach sehen wir weiter:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

petetheheat · 02.04.2012, 14:49

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Trial) 1.60.1.1000
www.malwarebytes.org

Database version: v2012.04.02.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Hoschie :: DACH [administrator]

Protection: Enabled

02.04.2012 15:25:44
mbam-log-2012-04-02 (15-25-44).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 215017
Time elapsed: 13 minute(s), 33 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Quarantined and deleted successfully.

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 1
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Bad: (hxxp://startsear.ch/?aff=1) Good: (hxxp://www.google.com) -> Quarantined and repaired successfully.

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

hab jetzt direkt die Startseite beim Firefox auf standart gestellt, aktuellste version habe ich bereits. malwarebytes hat mir beim starten des browsers auch darauf hingewiesen, dass eine schädliche Seite (ip xy) von meinem rechner angesteuert werden sollte (blocked)

werde den eset scanner jetzt lieber im abgesicherten modus laufen lassen und dann das logg dann später/morgn posten.

cosinus · 02.04.2012, 15:35

Zitat:

Art des Suchlaufs: Quick-Scan

Mach bitte erst einen Vollscan mit Malwarebytes!!

petetheheat · 03.04.2012, 12:18

Zitat:

Zitat von cosinus

Mach bitte erst einen Vollscan mit Malwarebytes!!

also ich habe zuerst den eset scanner durchlaufen lassen und nun mit Malwarebytes einen vollscan gemacht:

Code:

ATTFilter

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=16706935ab626f4bb5e9a86700948d80
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-25 11:41:30
# local_time=2012-03-25 01:41:30 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775126 100 100 684700 107572071 583721 0
# compatibility_mode=8192 67108863 100 0 561 561 0 0
# scanned=1363
# found=0
# cleaned=0
# scan_time=185
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=16706935ab626f4bb5e9a86700948d80
# end=stopped
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-25 11:45:52
# local_time=2012-03-25 01:45:52 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775126 100 100 685127 107572498 584148 0
# compatibility_mode=8192 67108863 100 0 988 988 0 0
# scanned=260
# found=0
# cleaned=0
# scan_time=20
esets_scanner_update returned -1 esets_gle=53251
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=16706935ab626f4bb5e9a86700948d80
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-03-25 03:42:45
# local_time=2012-03-25 05:42:45 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775126 100 100 685185 107572556 584206 0
# compatibility_mode=8192 67108863 100 0 1046 1046 0 0
# scanned=185770
# found=6
# cleaned=0
# scan_time=14175
C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\22\399d2616-5b81681a	a variant of Win32/Kryptik.ACVS trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\34\1a5a1822-55491a38	a variant of Java/TrojanDownloader.Agent.NDK trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\5\654bf205-2cfa163c	a variant of Java/Exploit.Blacole.AN trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe	a variant of Win32/Kryptik.ACVF trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Temp\jar_cache7389669072533204730.tmp	Java/TrojanDownloader.Agent.NDR trojan (unable to clean)	00000000000000000000000000000000	I
C:\Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Temp\NERO1002626\unit_app_75\Toolbar.exe	Win32/Toolbar.AskSBar application (unable to clean)	00000000000000000000000000000000	I
ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=16706935ab626f4bb5e9a86700948d80
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-04-02 03:56:51
# local_time=2012-04-02 05:56:51 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1797 16775126 100 100 6808 108271638 0 0
# compatibility_mode=8192 67108863 100 0 700128 700128 0 0
# scanned=156079
# found=2
# cleaned=0
# scan_time=7140
C:\_OTL\MovedFiles.7z	a variant of Win32/Kryptik.ACVF trojan (unable to clean)	00000000000000000000000000000000	I
C:\_OTL\MovedFiles\04022012_143508\C_Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Anwendungsdaten\Skype\SkypePM.exe	a variant of Win32/Kryptik.ACVF trojan (unable to clean)	00000000000000000000000000000000	I

Code:

ATTFilter

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Datenbank Version: v2012.04.03.05

Windows XP Service Pack 3 x86 NTFS (Abgesichertenmodus/Netzwerkfähig)
Internet Explorer 7.0.5730.13
Administrator :: DACH [Administrator]

03.04.2012 11:32:39
mbam-log-2012-04-03 (11-32-39).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 365949
Laufzeit: 1 Stunde(n), 7 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\System Volume Information\_restore{32402E38-D589-41E2-8D08-0B9456A1BAA1}\RP1216\A0224611.exe (Trojan.Banker) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

um den Trojaner zu löschen fordert Malwarebytes einen Neustart.

cosinus · 03.04.2012, 16:12

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

petetheheat · 03.04.2012, 17:51

Zitat:

Zitat von cosinus

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus wieder uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

eigentlich ging alles soweit, bis halt auf die tatsache, dass Malwarebytes folgendes ins protection log geschrieben hat:

werde gleich nochmal im normalen modus gucken, habe aber bisher nocht nichts vermisst.

Code:

ATTFilter

2012/04/02 15:53:17 +0200	DACH		MESSAGE	Starting protection
2012/04/02 13:54:03 +0200	DACH		MESSAGE	Protection started successfully
2012/04/02 13:54:06 +0200	DACH		MESSAGE	Starting IP protection
2012/04/02 13:55:50 +0200	DACH	Hoschie	MESSAGE	IP Protection started successfully
2012/04/02 13:58:54 +0200	DACH	Hoschie	MESSAGE	Starting database refresh
2012/04/02 13:58:54 +0200	DACH	Hoschie	MESSAGE	Stopping IP protection
2012/04/02 13:58:54 +0200	DACH	Hoschie	MESSAGE	IP Protection stopped
2012/04/02 13:59:12 +0200	DACH	Hoschie	MESSAGE	Database refreshed successfully
2012/04/02 13:59:13 +0200	DACH	Hoschie	MESSAGE	Starting IP protection
2012/04/02 13:59:35 +0200	DACH	Hoschie	MESSAGE	IP Protection started successfully
2012/04/02 14:04:54 +0200	DACH		MESSAGE	Starting protection
2012/04/02 14:05:04 +0200	DACH		MESSAGE	Executing scheduled update:  Daily
2012/04/02 14:05:06 +0200	DACH		MESSAGE	Database already up-to-date
2012/04/02 14:05:32 +0200	DACH		MESSAGE	Protection started successfully
2012/04/02 14:05:36 +0200	DACH		MESSAGE	Starting IP protection
2012/04/02 14:07:17 +0200	DACH	Hoschie	MESSAGE	IP Protection started successfully
2012/04/02 15:23:20 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.132 (Type: outgoing)
2012/04/02 15:23:20 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.132 (Type: outgoing)
2012/04/02 15:23:22 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.132 (Type: outgoing)
2012/04/02 15:23:23 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.132 (Type: outgoing)
2012/04/02 15:23:28 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.132 (Type: outgoing)
2012/04/02 15:23:29 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.132 (Type: outgoing)
2012/04/02 15:23:41 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.131 (Type: outgoing)
2012/04/02 15:23:41 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.131 (Type: outgoing)
2012/04/02 15:23:44 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.131 (Type: outgoing)
2012/04/02 15:23:44 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.131 (Type: outgoing)
2012/04/02 15:23:50 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.131 (Type: outgoing)
2012/04/02 15:23:50 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.131 (Type: outgoing)
2012/04/02 15:24:02 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.132 (Type: outgoing)
2012/04/02 15:24:05 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.132 (Type: outgoing)
2012/04/02 15:24:11 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.132 (Type: outgoing)
2012/04/02 15:24:23 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.131 (Type: outgoing)
2012/04/02 15:24:26 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.131 (Type: outgoing)
2012/04/02 15:24:32 +0200	DACH	Hoschie	IP-BLOCK	85.159.232.131 (Type: outgoing)

cosinus · 03.04.2012, 19:25

Teil mir bitte mit ob da was fehlt oder nicht, sonst gehts erstmal nicht weiter

petetheheat · 03.04.2012, 19:46

das einzige was ich jetzt gesehn hab ist, dass .url links bei in den programmordnern nichtmehr mit dem internet-explorer icon angezeigt werden, sowie 3 von 4 einträgen im Quicktime Ordner. (alle 3 bis auf Quiktime deinstallieren). statt des normalen symbols wird hierbei dieses symbol für dateien, die nicht mit einem programm verknüpft sind angezeigt.
sonst ist mir nichts aufgefallen.
leere ordner sind keine vorhanden.

cosinus · 03.04.2012, 19:53

Also offensichlich alles Relevante noch da

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

petetheheat · 03.04.2012, 20:31

OTL - Log:

Code:

ATTFilter

OTL logfile created on: 03.04.2012 21:04:47 - Run 3
OTL by OldTimer - Version 3.2.39.1     Folder = C:\Dokumente und Einstellungen\Administrator.DACH\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,47 Gb Available Physical Memory | 73,31% Memory free
3,35 Gb Paging File | 2,90 Gb Available in Paging File | 86,38% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 27,95 Gb Total Space | 5,70 Gb Free Space | 20,40% Space Free | Partition Type: NTFS
Drive D: | 83,84 Gb Total Space | 0,33 Gb Free Space | 0,40% Space Free | Partition Type: NTFS
Drive H: | 7,79 Gb Total Space | 0,97 Gb Free Space | 12,44% Space Free | Partition Type: FAT32
 
Computer Name: DACH | User Name: Hoschie | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.03.21 13:58:24 | 000,594,432 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator.DACH\Desktop\OTL.exe
PRC - [2012.01.13 15:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
PRC - [2011.06.29 05:52:26 | 000,269,480 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.06.09 14:06:06 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2011.05.25 14:06:20 | 000,037,664 | ---- | M] (Apple Inc.) -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
PRC - [2011.04.28 06:54:18 | 000,136,360 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2010.12.13 09:39:19 | 000,281,768 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2010.06.02 16:58:20 | 000,246,520 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe
PRC - [2010.03.30 08:37:32 | 000,116,056 | ---- | M] (Samsung Electronics Co., Ltd.) -- C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe
PRC - [2010.01.14 22:10:53 | 000,076,968 | ---- | M] (Avira GmbH) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2009.12.10 11:27:26 | 000,357,384 | ---- | M] (Logitech Inc.) -- C:\Programme\Logitech\GamePanel Software\LGDevAgt.exe
PRC - [2009.12.10 11:25:16 | 003,203,080 | ---- | M] (Logitech Inc.) -- C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
PRC - [2008.10.20 22:18:26 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2008.04.08 17:49:18 | 000,671,796 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) -- C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
PRC - [2007.07.26 16:55:16 | 000,483,393 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
PRC - [2007.01.09 17:16:12 | 000,061,440 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
PRC - [1997.01.17 00:00:00 | 000,051,984 | ---- | M] () -- C:\Programme\Microsoft Office\Office\OSA.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2010.06.17 15:27:02 | 000,355,688 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2010.06.02 16:58:20 | 000,246,520 | ---- | M] () -- C:\Programme\ICQ6Toolbar\ICQ Service.exe
MOD - [2009.02.27 17:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2008.10.20 22:18:26 | 000,071,096 | ---- | M] () -- C:\Programme\CDBurnerXP\NMSAccessU.exe
MOD - [1997.01.17 00:00:00 | 003,774,224 | ---- | M] () -- C:\Programme\Microsoft Office\Office\MSO97.DLL
MOD - [1997.01.17 00:00:00 | 000,051,984 | ---- | M] () -- C:\Programme\Microsoft Office\Office\OSA.EXE
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.01.13 15:53:18 | 000,652,360 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2011.06.29 05:52:26 | 000,269,480 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011.05.25 14:06:20 | 000,037,664 | ---- | M] (Apple Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe -- (Apple Mobile Device)
SRV - [2011.04.28 06:54:18 | 000,136,360 | ---- | M] (Avira GmbH) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2010.06.02 16:58:20 | 000,246,520 | ---- | M] () [Auto | Running] -- C:\Programme\ICQ6Toolbar\ICQ Service.exe -- (ICQ Service)
SRV - [2009.05.06 23:15:00 | 002,785,582 | ---- | M] (INCA Internet Co., Ltd.) [Disabled | Stopped] -- C:\WINDOWS\system32\GameMon.des -- (npggsvc)
SRV - [2008.10.20 22:18:26 | 000,071,096 | ---- | M] () [Auto | Running] -- C:\Programme\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU)
SRV - [2007.01.09 17:16:12 | 000,061,440 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe -- (MZCCntrl)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2011.12.10 16:24:06 | 000,020,464 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2011.06.29 05:52:27 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011.06.29 05:52:27 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2010.06.17 15:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.02.22 04:41:44 | 000,132,424 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sscdmdm.sys -- (sscdmdm)
DRV - [2010.02.22 04:41:44 | 000,104,648 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sscdbus.sys -- (sscdbus) SAMSUNG USB Composite Device driver (WDM)
DRV - [2010.02.22 04:41:44 | 000,014,920 | ---- | M] (MCCI Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\sscdmdfl.sys -- (sscdmdfl)
DRV - [2009.02.13 12:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2008.04.13 20:53:09 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2006.10.09 16:03:56 | 000,017,152 | ---- | M] (Deutsche Telekom AG, Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MInfraIS\MIINPazx.sys -- (MIINPazX)
DRV - [2006.10.04 09:14:26 | 000,017,280 | ---- | M] (Marmiko IT-Solutions GmbH) [Kernel | On_Demand | Running] -- C:\Programme\Gemeinsame Dateien\Marmiko Shared\MAcNdis5.sys -- (MACNDIS5)
DRV - [2006.09.01 12:32:50 | 000,003,712 | ---- | M] (Logitech Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\LBeepKE.sys -- (LBeepKE)
DRV - [2006.08.28 17:12:04 | 000,013,312 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\MTiCtwl.sys -- (MagicTune)
DRV - [2006.07.19 12:29:08 | 000,027,136 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LHidKE.Sys -- (LHidKe)
DRV - [2006.07.19 12:28:56 | 000,071,936 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouKE.Sys -- (LMouKE)
DRV - [2006.07.19 12:28:04 | 000,036,736 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LHidUsbK.sys -- (LHidUsbK)
DRV - [2006.07.19 12:27:46 | 000,055,936 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\L8042mou.Sys -- (L8042mou)
DRV - [2006.07.19 12:27:26 | 000,013,568 | ---- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\L8042Kbd.SYS -- (L8042Kbd)
DRV - [2005.11.03 16:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02) StarForce Protection VFS Driver (version 2.x)
DRV - [2005.08.10 14:44:04 | 000,050,688 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfdrv01.sys -- (sfdrv01) StarForce Protection Environment Driver (version 1.x)
DRV - [2005.05.16 15:20:39 | 000,006,656 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02) StarForce Protection Helper Driver (version 2.x)
DRV - [2003.02.14 11:59:00 | 001,169,792 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2000.12.05 15:18:02 | 000,003,952 | ---- | M] (Sony Corporation) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\DMICall.sys -- (DMICall)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
IE - HKLM\..\SearchScopes,DefaultScope = {4CC0F1D7-C988-42BF-BC1A-5491D279FB24}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{4CC0F1D7-C988-42BF-BC1A-5491D279FB24}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
 
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.sony-europe.com/
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.sony-europe.com/
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.sony-europe.com/
IE - HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.club-vaio.sony-europe.com/
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com
IE - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\..\URLSearchHook: {855F3B16-6D32-4fe6-8A56-BBB695989046} - No CLSID value found
IE - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\..\SearchScopes\{4CC0F1D7-C988-42BF-BC1A-5491D279FB24}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7GGLL_de
IE - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7GGLL_de
IE - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.search.selectedEngine: "Google"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "about:home"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0025-ABCDEFFEDCBA}:6.0.25
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: personas@christopher.beard:1.6.1
FF - prefs.js..extensions.enabledItems: {AB2CE124-6272-4b12-94A9-7303C7397BD1}:4.2.0.5198
FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2
FF - prefs.js..extensions.enabledItems: 4
FF - prefs.js..extensions.enabledItems: 9
FF - prefs.js..extensions.enabledItems: 1
FF - prefs.js..keyword.URL: "hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q="
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Programme\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@idsoftware.com/QuakeLive: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\id Software\QuakeLive\npquakezero.dll (id Software Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
FF - HKLM\Software\MozillaPlugins\@rayv.com/rayvplugin: C:\Programme\RayV\RayV\plugins\nprayvplugin.dll (RayV)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.69: C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.69: C:\Programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.99\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetleCorePlugin,version=0.9.18: C:\Programme\Veetle\plugins\npVeetle.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\@veetle.com/veetlePlayerPlugin,version=0.9.18: C:\Programme\Veetle\Player\npvlc.dll (Veetle Inc)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@octoshape.com/Octoshape Streaming Services,version=1.0: C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Octoshape\Octoshape Streaming Services\sua-1101262-0-npoctoshape.dll (Octoshape ApS)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Anwendungsdaten\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
FF - HKCU\Software\MozillaPlugins\pandonetworks.com/PandoWebPlugin: C:\Programme\Pando Networks\Media Booster\npPandoWebPlugin.dll (Pando Networks)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012.03.21 13:09:00 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012.01.13 00:14:09 | 000,000,000 | ---D | M]
 
[2008.07.07 13:09:52 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Extensions
[2011.06.01 23:13:37 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\extensions
[2011.05.24 22:00:35 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2009.06.29 13:03:00 | 000,000,000 | ---D | M] (Battlefield Heroes Updater) -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\extensions\battlefieldheroespatcher@ea.com
[2009.11.29 18:40:15 | 000,000,000 | ---D | M] (TVU Web Player) -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\extensions\firefox@tvunetworks.com
[2011.02.23 18:20:46 | 000,000,000 | ---D | M] (Personas) -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\extensions\personas@christopher.beard
[2010.06.17 10:42:23 | 000,000,618 | ---- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\searchplugins\icqplugin-1.xml
[2010.05.12 18:40:06 | 000,001,042 | ---- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\searchplugins\icqplugin.xml
[2011.07.11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\searchplugins\startsear.xml
[2009.10.25 14:12:18 | 000,002,791 | ---- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\searchplugins\world-of-warcraft-arsenal.xml
[2012.03.21 13:09:11 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.03.30 09:36:25 | 000,000,000 | ---D | M] (Skype extension for Firefox) -- C:\Programme\Mozilla Firefox\extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1}
[2012.03.21 13:08:58 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011.10.03 06:06:04 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2011.10.03 11:14:54 | 000,083,456 | ---- | M] (vShare.tv ) -- C:\Programme\mozilla firefox\plugins\npvsharetvplg.dll
[2012.03.21 13:08:53 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.03.21 13:08:53 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012.03.21 13:08:53 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012.03.21 13:08:53 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.03.21 13:08:53 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.03.21 13:08:53 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2012.04.02 21:49:24 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1       localhost
O2 - BHO: (no name) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - No CLSID value found.
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - No CLSID value found.
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - No CLSID value found.
O2 - BHO: (no name) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - No CLSID value found.
O3 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\..\Toolbar\WebBrowser: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [Launch LGDCore] C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe (Logitech Inc.)
O4 - HKLM..\Run: [Launch LgDeviceAgent] C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe (Logitech Inc.)
O4 - HKLM..\Run: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [OM2_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master 2\FirstStart.exe (OLYMPUS IMAGING CORP.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\.DEFAULT..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
O4 - HKU\S-1-5-18..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
O4 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005..\Run: [AutoStartNPSAgent] C:\Programme\Samsung\Samsung New PC Studio\NPSAgent.exe (Samsung Electronics Co., Ltd.)
O4 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005..\Run: [GameXN] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameXN\GameXNGO.exe (EasyBits Software AS)
O4 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005..\Run: [GameXN (news)] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameXN\GameXNGO.exe (EasyBits Software AS)
O4 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005..\Run: [GameXN (update)] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GameXN\GameXNGO.exe (EasyBits Software AS)
O4 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent File not found
O4 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005..\Run: [Octoshape Streaming Services] C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe (Octoshape ApS)
O4 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005..\Run: [OM2_Monitor] C:\Programme\OLYMPUS\OLYMPUS Master 2\MMonitor.exe (OLYMPUS IMAGING CORP.)
O4 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005..\Run: [RayV] C:\Programme\RayV\RayV\RayV.exe (RayV)
O4 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005..\Run: [Steam] d:\programme\steam\steam.exe (Valve Corporation)
O4 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe (Deutsche Telekom AG, Marmiko IT-Solutions GmbH)
O4 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\System32\Macromed\Flash\FlashUtil11f_Plugin.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (Logitech Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Hoschie\Startmenü\Programme\Autostart\CurseClientStartup.ccip ()
O4 - Startup: C:\Dokumente und Einstellungen\Hoschie\Startmenü\Programme\Autostart\Dropbox.lnk = C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\Hoschie\Startmenü\Programme\Autostart\Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Hoschie\Startmenü\Programme\Autostart\Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE ()
O7 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html File not found
O9 - Extra Button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - Reg Error: Key error. File not found
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O15 - HKU\.DEFAULT\..Trusted Domains: sony-europe.com ([] in Lokales Intranet)
O15 - HKU\.DEFAULT\..Trusted Domains: sony-europe.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\.DEFAULT\..Trusted Domains: sonystyle-europe.com ([] in Lokales Intranet)
O15 - HKU\.DEFAULT\..Trusted Domains: sonystyle-europe.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\.DEFAULT\..Trusted Domains: vaio-link.com ([] in Lokales Intranet)
O15 - HKU\.DEFAULT\..Trusted Domains: vaio-link.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-18\..Trusted Domains: sony-europe.com ([] in Lokales Intranet)
O15 - HKU\S-1-5-18\..Trusted Domains: sony-europe.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-18\..Trusted Domains: sonystyle-europe.com ([] in Lokales Intranet)
O15 - HKU\S-1-5-18\..Trusted Domains: sonystyle-europe.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-18\..Trusted Domains: vaio-link.com ([] in Lokales Intranet)
O15 - HKU\S-1-5-18\..Trusted Domains: vaio-link.com ([]* in Vertrauenswürdige Sites)
O15 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\..Trusted Domains: sony-europe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\..Trusted Domains: sonystyle-europe.com ([]* in Trusted sites)
O15 - HKU\S-1-5-21-3043918641-1562116810-1089896837-1005\..Trusted Domains: vaio-link.com ([]* in Trusted sites)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\G\Shell\AutoRun\command - "" = G:\NPSAI.exe
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - Services: "npggsvc"
MsConfig - Services: "iPod Service"
MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: AGRSMMSG - hkey= - key= - C:\WINDOWS\AGRSMMSG.exe (Agere Systems)
MsConfig - StartUpReg: iTunesHelper - hkey= - key= - C:\Programme\iTunes\iTunesHelper.exe (Apple Inc.)
MsConfig - StartUpReg: Kernel and Hardware Abstraction Layer - hkey= - key= - C:\WINDOWS\KHALMNPR.Exe (Logitech Inc.)
MsConfig - StartUpReg: Logitech Hardware Abstraction Layer - hkey= - key= - C:\WINDOWS\KHALMNPR.Exe (Logitech Inc.)
MsConfig - StartUpReg: NPSStartup - hkey= - key= -  File not found
MsConfig - StartUpReg: nwiz - hkey= - key= -  File not found
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 2
MsConfig - State: "startup" - 2
 
SafeBootMin: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: sermouse.sys - Driver
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vds - Service
SafeBootMin: vga.sys - Driver
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
SafeBootNet: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: nm - C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation)
SafeBootNet: nm.sys - C:\WINDOWS\system32\drivers\nmnt.sys (Microsoft Corporation)
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: sermouse.sys - Driver
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: UploadMgr - Service
SafeBootNet: vga.sys - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
 
ActiveX: {0213C6AF-5562-4D09-884C-2ADCFC8C2F35} - Microsoft .NET Framework 1.1 Security Update (KB2656353)
ActiveX: {032A6019-9DAA-40f9-A3B3-34ABB0AA0947} - Q813951
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Microsoft VM
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608555} - Internet Explorer Classes for Java
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015C} - Microsoft DirectX
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C34F4917-ED43-439f-9023-97B0024A2B3B} - Q810847
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {DBB3C81D-3C91-4a1e-BDDF-905B61C7CEDF} - Security Update for the Microsoft VM
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
Drivers32: msacm.ac3acm - C:\WINDOWS\System32\ac3acm.acm (fccHandler)
Drivers32: msacm.iac2 - C:\WINDOWS\System32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.lameacm - C:\WINDOWS\System32\lameACM.acm (hxxp://www.mp3dev.org/)
Drivers32: msacm.lhacm - C:\WINDOWS\System32\lhacm.acm (Microsoft Corporation)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: VIDC.DIVX - C:\WINDOWS\System32\divx.dll (DivX, Inc.)
Drivers32: VIDC.dvsd - C:\Programme\Gemeinsame Dateien\Sony Shared\DVLib\sonydv.dll (Sony Corporation)
Drivers32: VIDC.FFDS - C:\WINDOWS\System32\ff_vfw.dll ()
Drivers32: VIDC.FPS1 - C:\WINDOWS\System32\frapsvid.dll (Beepa P/L)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
Drivers32: VIDC.XVID - C:\WINDOWS\System32\xvidvfw.dll ()
Drivers32: VIDC.YV12 - C:\WINDOWS\System32\yv12vfw.dll (www.helixcommunity.org)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.04.02 15:51:43 | 002,322,184 | ---- | C] (ESET) -- C:\esetsmartinstaller_enu.exe
[2012.03.27 15:48:55 | 000,000,000 | ---D | C] -- C:\_OTL
[2012.03.27 10:11:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Malwarebytes
[2012.03.25 13:29:06 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.03.23 12:37:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\7-Zip
[2012.03.23 12:37:17 | 000,000,000 | ---D | C] -- C:\Programme\7-Zip
[2012.03.20 15:23:05 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.03.20 15:23:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.03.20 15:23:03 | 000,020,464 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.03.20 15:23:03 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.03.17 19:04:59 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2012.03.17 17:04:27 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2012.03.13 11:03:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\LEGO Creations
[2012.03.13 11:03:01 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\LEGO Company
[2012.03.13 11:01:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\LEGO Company
[2 C:\Programme\*.tmp files -> C:\Programme\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[4341.02.08 15:38:17 | 032,467,048 | ---- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\avira_antivir_personal_de.exe
[2012.04.03 21:04:13 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.04.03 20:20:03 | 000,182,038 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012.04.03 20:19:58 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.04.03 20:19:54 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.04.03 20:19:47 | 2146,881,536 | -HS- | M] () -- C:\hiberfil.sys
[2012.04.03 11:42:11 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.04.02 21:49:24 | 000,000,098 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\Hosts
[2012.04.02 15:51:48 | 002,322,184 | ---- | M] (ESET) -- C:\esetsmartinstaller_enu.exe
[2012.04.02 14:04:36 | 000,001,158 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.03.26 18:52:21 | 000,459,250 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.03.26 18:52:21 | 000,441,552 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.03.26 18:52:21 | 000,084,754 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.03.26 18:52:21 | 000,071,488 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.03.20 15:23:06 | 000,000,760 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.03.17 17:25:42 | 000,000,211 | RHS- | M] () -- C:\boot.ini
[2012.03.17 13:28:41 | 000,117,760 | ---- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.03.15 10:30:06 | 000,130,576 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.03.15 00:09:11 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.03.14 18:38:06 | 000,000,276 | ---- | M] () -- C:\WINDOWS\tasks\AppleSoftwareUpdate.job
[2012.03.13 11:01:53 | 000,000,833 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\LEGO Digital Designer.lnk
[2 C:\Programme\*.tmp files -> C:\Programme\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[4341.02.08 15:36:42 | 032,467,048 | ---- | C] () -- C:\Dokumente und Einstellungen\Hoschie\Eigene Dateien\avira_antivir_personal_de.exe
[2012.04.03 20:10:29 | 2146,881,536 | -HS- | C] () -- C:\hiberfil.sys
[2012.03.23 12:06:06 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.03.20 15:23:06 | 000,000,760 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.03.13 11:01:53 | 000,000,833 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\LEGO Digital Designer.lnk
[2012.02.15 12:06:52 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2012.01.27 21:26:03 | 000,021,336 | -H-- | C] () -- C:\WINDOWS\System32\mlfcache.dat
[2011.07.13 18:58:20 | 000,002,528 | ---- | C] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\$_hpcst$.hpc
[2011.04.21 22:20:20 | 000,000,032 | ---- | C] () -- C:\WINDOWS\Menu.INI
[2010.12.06 19:51:53 | 000,000,025 | ---- | C] () -- C:\WINDOWS\popcinfot.dat
[2010.10.07 11:31:38 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\drivers\MTiCtwl.sys
[2010.07.01 00:06:41 | 000,141,936 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
 
========== Custom Scans ==========
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2012.01.21 17:28:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\.minecraft
[2009.12.29 21:21:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Adobe
[2011.10.23 12:46:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Apple Computer
[2008.10.27 13:04:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Ashampoo
[2011.02.05 12:10:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Avira
[2008.12.24 20:08:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Canneverbe_Limited
[2008.11.29 23:17:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\CyberLink
[2012.04.03 20:21:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Dropbox
[2009.04.23 00:59:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\dvdcss
[2010.12.24 11:59:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\EPSON
[2012.04.03 20:10:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\go
[2009.08.21 11:17:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Google
[2012.03.16 12:50:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\ICQ
[2009.02.28 13:02:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\id Software
[2003.06.07 09:42:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Identities
[2008.12.18 12:57:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\InstallShield
[2003.06.08 14:02:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\InterTrust
[2008.09.18 09:57:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\IrfanView
[2012.03.13 11:03:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\LEGO Company
[2008.10.03 07:24:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Logitech
[2012.01.09 20:27:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\LolClient
[2008.07.09 10:17:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Macromedia
[2012.03.27 10:11:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Malwarebytes
[2008.07.31 22:26:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Media Player Classic
[2010.01.13 11:05:57 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Microsoft
[2009.08.21 11:17:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla
[2008.09.11 18:10:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mp3tag
[2010.06.11 19:12:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\MSN6
[2008.10.28 00:04:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Nero
[2010.01.16 12:17:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Octoshape
[2012.03.27 19:07:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\RayV
[2009.12.17 23:47:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Real
[2011.07.13 18:58:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Samsung
[2010.05.28 21:55:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\ScummVM
[2012.04.03 21:03:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Skype
[2012.04.03 20:14:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\skypePM
[2011.05.24 12:45:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Sun
[2008.07.07 13:04:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\T-Online
[2010.04.23 14:12:42 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\teamspeak2
[2011.03.09 20:47:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Toribash
[2008.11.30 18:28:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\TVU Networks
[2011.09.18 17:26:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Unity
[2009.03.22 16:17:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Ventrilo
[2008.07.12 00:41:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\vlc
[2008.08.16 13:12:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\WinRAR
[2009.07.05 18:38:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\XnView
 
< %APPDATA%\*.exe /s >
[2012.02.15 01:03:14 | 024,246,216 | ---- | M] (Dropbox, Inc.) -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Dropbox\bin\Dropbox.exe
[2012.02.15 01:03:44 | 000,174,752 | ---- | M] (Dropbox, Inc.) -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Dropbox\bin\Uninstall.exe
[2008.10.23 15:43:44 | 000,015,872 | R--- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Microsoft\Installer\{048298C9-A4D3-490B-9FF9-AB023A9238F3}\Icon048298C9.exe
[2008.10.02 10:59:44 | 000,010,134 | R--- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Microsoft\Installer\{EE7B9A8D-19F0-450D-8E94-3E391E6044CD}\ARPPRODUCTICON.exe
[2009.06.25 16:36:16 | 001,291,640 | ---- | M] (EA Digital Illusions CE AB) -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\extensions\battlefieldheroespatcher@ea.com\platform\WINNT_x86-msvc\plugins\BFHUpdater.exe
[2009.01.08 15:44:06 | 000,070,936 | ---- | M] (Octoshape ApS) -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe
 
< %SYSTEMDRIVE%\*.exe >
[2012.04.02 15:51:48 | 002,322,184 | ---- | M] (ESET) -- C:\esetsmartinstaller_enu.exe
 
< MD5 for: AGP440.SYS  >
[2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2008.09.18 23:38:09 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:AGP440.sys
[2008.09.18 23:38:09 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
[2004.08.03 23:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\$NtServicePackUninstall$\agp440.sys
[2001.08.17 13:58:00 | 000,025,472 | ---- | M] (Microsoft Corporation) MD5=65880045C51AA36184841CEE915A61DF -- C:\WINDOWS\system32\ReinstallBackups\0007\DriverFiles\i386\AGP440.SYS
 
< MD5 for: ATAPI.SYS  >
[2002.08.29 14:00:00 | 010,180,476 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp1.cab:atapi.sys
[2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2008.09.18 23:38:09 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2002.08.29 14:00:00 | 010,180,476 | ---- | M] () .cab file -- C:\WINDOWS\I386\sp1.cab:atapi.sys
[2004.08.04 01:10:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:atapi.sys
[2008.09.18 23:38:09 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2002.08.29 01:27:50 | 000,086,912 | ---- | M] (Microsoft Corporation) MD5=95B858761A00E1D4F81F79A0DA019ACA -- C:\WINDOWS\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2004.08.03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
[2004.08.04 00:57:20 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
[2004.08.04 00:57:32 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\$NtServicePackUninstall$\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
[2004.08.04 00:57:34 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\$NtServicePackUninstall$\scecli.dll
 
< MD5 for: USER32.DLL  >
[2005.03.02 20:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\$NtUninstallKB925902$\user32.dll
[2007.03.08 17:36:30 | 000,579,072 | ---- | M] (Microsoft Corporation) MD5=492E166CFD26A50FB9160DB536FF7D2B -- C:\WINDOWS\$NtServicePackUninstall$\user32.dll
[2005.03.02 20:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
[2004.08.04 00:57:38 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=56785FD5236D7B22CF471A6DA9DB46D8 -- C:\WINDOWS\$NtUninstallKB890859$\user32.dll
[2007.03.08 17:48:39 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
[2004.08.04 00:58:18 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\$NtServicePackUninstall$\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004.08.04 00:58:20 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
[2012.01.13 15:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2002.08.29 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2002.08.29 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2003.06.07 11:34:31 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2003.06.07 11:34:31 | 000,606,208 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2003.06.07 11:34:31 | 000,401,408 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
 
<           >

< End of report >

cosinus · 04.04.2012, 09:09

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
FF - prefs.js..browser.search.defaultengine: "Web Search"
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..keyword.URL: "http://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=1.1.6&q="
[2011.05.24 22:00:35 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
[2010.06.17 10:42:23 | 000,000,618 | ---- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\searchplugins\icqplugin-1.xml
[2010.05.12 18:40:06 | 000,001,042 | ---- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\searchplugins\icqplugin.xml
[2011.07.11 20:04:02 | 000,000,633 | ---- | M] () -- C:\Dokumente und Einstellungen\Hoschie\Anwendungsdaten\Mozilla\Firefox\Profiles\cvljn78f.default\searchplugins\startsear.xml
:Files
C:\Programme\ICQ6Toolbar
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

03.04.2012, 16:12	#24
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Bka Trojaner will nicht weichen Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus wieder uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? __________________ Logfiles bitte immer in CODE-Tags posten

03.04.2012, 19:25	#26
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Bka Trojaner will nicht weichen Teil mir bitte mit ob da was fehlt oder nicht, sonst gehts erstmal nicht weiter __________________ Logfiles bitte immer in CODE-Tags posten

Bka Trojaner will nicht weichen

Log-Analyse und Auswertung: Bka Trojaner will nicht weichen