|
Log-Analyse und Auswertung: GEMA-Trojaner - OTL.txt erstelltWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
01.04.2012, 15:48 | #1 |
| GEMA-Trojaner - OTL.txt erstellt Hallo, habe wohl auch den GEMA-Trojaner. Konnte im abgesicherten Modus nicht mehr starten ohne das weiße Fenster. Habe OTL laufen lassen. Hoffe mir kann jemand helfen. Vielen Dank im Voraus. Hier die Log: OTL logfile created on: 4/1/2012 5:25:16 PM - Run OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE Microsoft Windows 2000 Service Pack 4 (Version = 5.0.2195) - Type = SYSTEM Internet Explorer (Version = 6.0.2800.1106) Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy 2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free 2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free Paging file location(s): C:\pagefile.sys 2046 4092 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINNT | %ProgramFiles% = C:\Programme Drive C: | 19.53 Gb Total Space | 2.39 Gb Free Space | 12.24% Space Free | Partition Type: NTFS Drive D: | 372.51 Gb Total Space | 80.34 Gb Free Space | 21.57% Space Free | Partition Type: FAT32 Drive E: | 108.46 Gb Total Space | 27.56 Gb Free Space | 25.42% Space Free | Partition Type: NTFS Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS Computer Name: REATOGO | User Name: SYSTEM Boot Mode: Normal | Scan Mode: All users Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days Using ControlSet: ControlSet001 ========== Win32 Services (SafeList) ========== SRV - File not found [Auto] -- -- (ufmicg) SRV - File not found [Auto] -- -- (NMSAccess) SRV - File not found [Unavailable] -- -- (IAS) SRV - File not found [On_Demand] -- -- (AVK Tuner Service) SRV - [2011/03/30 05:51:36 | 000,144,704 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\VirusScan\Mcshield.exe -- (McShield) SRV - [2010/06/10 00:58:32 | 000,865,832 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\MSC\mcmscsvc.exe -- (mcmscsvc) SRV - [2010/02/24 07:16:08 | 000,365,072 | ---- | M] (McAfee, Inc.) [On_Demand] -- C:\Programme\McAfee\VirusScan\mcods.exe -- (McODS) SRV - [2010/02/17 09:53:26 | 000,606,736 | ---- | M] (McAfee, Inc.) [On_Demand] -- C:\Programme\McAfee\VirusScan\mcsysmon.exe -- (McSysmon) SRV - [2009/10/27 05:19:46 | 000,895,696 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\MPF\MpfSrv.exe -- (MpfService) SRV - [2009/10/02 07:02:56 | 000,026,640 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\MSK\MskSrver.exe -- (MSK80Service) SRV - [2009/07/08 05:54:34 | 000,359,952 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\McAfee\McProxy\McProxy.exe -- (McProxy) SRV - [2009/07/07 13:10:02 | 002,482,848 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe -- (McNASvc) SRV - [2009/04/29 07:53:32 | 000,274,432 | ---- | M] () [Auto] -- C:\Programme\Belkin\F5D8053\v6\WifiSvc.exe -- (Belkin Wifi Service) SRV - [2009/01/23 04:46:14 | 000,203,280 | ---- | M] () [Auto] -- C:\Programme\McAfee\SiteAdvisor\McSACore.exe -- (McAfee SiteAdvisor Service) SRV - [2008/06/08 06:24:48 | 000,313,840 | ---- | M] (Sonic Solutions) [Auto] -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe -- (RoxLiveShare9) SRV - [2008/06/08 06:24:44 | 000,170,480 | ---- | M] (Sonic Solutions) [Auto] -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe -- (RoxWatch9) SRV - [2008/06/08 06:24:26 | 001,108,464 | ---- | M] (Sonic Solutions) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe -- (RoxMediaDB9) SRV - [2006/11/15 05:40:10 | 000,258,560 | ---- | M] (ASUSTeK COMPUTER INC.) [Auto] -- C:\WINNT\ATKKBService.exe -- (ATKKeyboardService) SRV - [2006/10/23 08:50:35 | 000,046,640 | R--- | M] (AOL LLC) [Auto] -- C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe -- (AOL ACS) SRV - [2005/06/03 02:37:10 | 000,123,152 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINNT\system32\mstask.exe -- (Schedule) SRV - [2004/10/21 22:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT) SRV - [2003/12/05 06:25:28 | 000,798,772 | ---- | M] (AHEAD Software) [Auto] -- C:\Programme\Ahead\InCD\incdsrv.exe -- (InCDsrv) SRV - [2003/06/20 08:00:00 | 000,196,706 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINNT\system32\wbem\winmgmt.exe -- (WinMgmt) SRV - [2003/06/20 08:00:00 | 000,147,728 | ---- | M] (VERITAS Software Corp.) [On_Demand] -- C:\WINNT\System32\dmadmin.exe -- (dmadmin) SRV - [2003/06/20 08:00:00 | 000,096,016 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\WINNT\system32\faxsvc.exe -- (Fax) SRV - [2003/06/20 08:00:00 | 000,068,368 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINNT\system32\regsvc.exe -- (RemoteRegistry) SRV - [2003/06/20 08:00:00 | 000,022,800 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\WINNT\system32\utilman.exe -- (UtilMan) ========== Driver Services (SafeList) ========== DRV - File not found [Kernel | System] -- -- (tga) DRV - File not found [Kernel | System] -- -- (sglfb) DRV - File not found [Kernel | System] -- -- (PCIDump) DRV - File not found [Kernel | System] -- -- (lbrtfdc) DRV - File not found [Kernel | System] -- -- (Changer) DRV - [2011/03/30 05:51:44 | 000,034,376 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\mferkdk.sys -- (mferkdk) DRV - [2011/03/30 05:51:42 | 000,216,008 | ---- | M] (McAfee, Inc.) [Kernel | System] -- C:\WINNT\system32\drivers\mfehidk.sys -- (mfehidk) DRV - [2011/03/30 05:51:42 | 000,040,648 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\mfesmfk.sys -- (mfesmfk) DRV - [2011/03/30 05:51:36 | 000,080,136 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\mfeavfk.sys -- (mfeavfk) DRV - [2011/03/30 05:51:36 | 000,035,368 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\mfebopk.sys -- (mfebopk) DRV - [2010/07/15 09:18:22 | 000,120,136 | ---- | M] (McAfee, Inc.) [Kernel | System] -- C:\WINNT\system32\drivers\Mpfp.sys -- (MPFP) DRV - [2010/07/04 15:51:26 | 000,004,096 | ---- | M] () [Kernel | Unavailable] -- C:\Programme\Unlocker\UnlockerDriver5.sys -- (UnlockerDriver5) DRV - [2009/05/27 11:31:44 | 000,584,832 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\RTL8192su.sys -- (RTL8192su) DRV - [2009/04/17 05:48:36 | 000,048,128 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\spvads.sys -- (spvads) SoundPlane Audio Device (S) DRV - [2009/01/23 06:12:13 | 000,042,496 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\RtsUCcid.sys -- (USBCCID) DRV - [2008/06/19 11:24:30 | 000,028,544 | ---- | M] (Panda Security, S.L.) [File_System | Boot] -- C:\WINNT\system32\drivers\pavboot.sys -- (pavboot) DRV - [2007/03/26 15:21:06 | 004,395,008 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM) DRV - [2007/03/15 10:17:46 | 000,037,376 | R--- | M] (Attansic Technology corporation.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\atl01_2k.sys -- (AtcL001) DRV - [2007/02/14 10:09:08 | 000,011,136 | ---- | M] (ASUSTeK COMPUTER INC.) [Kernel | System] -- C:\WINNT\system32\drivers\atkkbnt.sys -- (asuskbnt) DRV - [2007/02/01 22:00:00 | 000,009,464 | ---- | M] (Sonic Solutions) [Kernel | System] -- C:\WINNT\System32\drivers\cdralw2k.sys -- (Cdralw2k) DRV - [2007/02/01 22:00:00 | 000,009,336 | ---- | M] (Sonic Solutions) [Kernel | System] -- C:\WINNT\System32\drivers\cdr4_2k.sys -- (Cdr4_2K) DRV - [2006/09/29 05:06:26 | 000,010,752 | ---- | M] (ASUSTeK COMPUTER INC.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\Video3D32.sys -- (Video3D) DRV - [2006/06/14 08:44:30 | 000,012,288 | ---- | M] (ASUSTeK Computer Inc.) [Kernel | System] -- C:\WINNT\system32\drivers\EIO.sys -- (EIO) DRV - [2004/08/13 14:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand] -- C:\WINNT\system32\drivers\ASACPI.sys -- (MTsensor) DRV - [2004/07/08 21:58:10 | 000,015,104 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\mpe.sys -- (MPE) DRV - [2003/12/05 06:27:40 | 000,028,592 | ---- | M] (Ahead Software) [Kernel | System] -- C:\WINNT\system32\drivers\incdpass.sys -- (InCDPass) DRV - [2003/12/05 06:27:28 | 000,009,341 | ---- | M] (Ahead Software AG) [Recognizer | System] -- C:\WINNT\System32\drivers\incdrec.sys -- (InCDrec) DRV - [2003/12/05 06:27:24 | 000,089,168 | ---- | M] (Ahead Software) [File_System | Disabled] -- C:\WINNT\System32\drivers\incdfs.sys -- (InCDfs) DRV - [2003/08/21 11:56:36 | 000,025,520 | ---- | M] (Ahead Software AG) [Kernel | System] -- C:\WINNT\System32\drivers\incdrm.sys -- (incdrm) DRV - [2003/06/20 08:00:00 | 000,369,104 | ---- | M] (VERITAS Software Corp.) [Kernel | Disabled] -- C:\WINNT\system32\drivers\dmboot.sys -- (dmboot) DRV - [2003/06/20 08:00:00 | 000,137,936 | ---- | M] (VERITAS Software Corp.) [Kernel | Boot] -- C:\WINNT\system32\drivers\dmio.sys -- (dmio) DRV - [2003/06/20 08:00:00 | 000,060,368 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINNT\System32\drivers\parallel.sys -- (Parallel) DRV - [2003/06/20 08:00:00 | 000,027,440 | ---- | M] (Microsoft Corporation) [File_System | Disabled] -- C:\WINNT\System32\drivers\efs.sys -- (EFS) DRV - [2003/06/20 08:00:00 | 000,021,712 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\rca.sys -- (RCA) Microsoft Streaming Network-RCA (Raw Channel Access) DRV - [2003/06/20 08:00:00 | 000,009,680 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\netdtect.sys -- (NetDetect) DRV - [2003/06/20 08:00:00 | 000,007,728 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\WINNT\System32\drivers\diskperf.sys -- (Diskperf) DRV - [2003/06/20 08:00:00 | 000,007,312 | ---- | M] (VERITAS Software Corp.) [Kernel | Boot] -- C:\WINNT\system32\drivers\dmload.sys -- (dmload) DRV - [2003/06/19 07:05:04 | 000,049,776 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\usbhub20.sys -- (usbhub20) DRV - [2003/06/19 07:05:04 | 000,032,848 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\uhcd.sys -- (uhcd) DRV - [2003/01/10 17:13:04 | 000,033,588 | R--- | M] (America Online, Inc.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\wanatw4.sys -- (wanatw) WAN Miniport (ATW) ========== Standard Registry (SafeList) ========== ========== Internet Explorer ========== IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4 IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 IE - HKU\Fürmann_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm IE - HKU\Fürmann_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.facemoods.com/?a=ddrnw IE - HKU\Fürmann_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 ========== FireFox ========== FF - prefs.js..browser.search.useDBForOrder: true FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/" FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22 FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0 FF - prefs.js..extensions.enabledItems: {B7082FAA-CB62-4872-9106-E42DD88EDE45}:2.8 FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 FF - prefs.js..keyword.URL: "hxxp://kwtb.search.imgag.com/?c=GNKIW29193&sbs=1&sc=2&f=web&vernum=1.0&uid=&did=f8d4a70c-98e2-4081-901d-01bf93043ede&q=" FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINNT\system32\Macromed\Flash\NPSWF32.dll () FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.) FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc) FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.) FF - HKLM\Software\MozillaPlugins\@pandasecurity.com/activescan: C:\Programme\Panda Security\ActiveScan 2.0\npwrapper.dll (Panda Security) FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2852: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.2910: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1662: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.) FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=: FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{B7082FAA-CB62-4872-9106-E42DD88EDE45}: C:\Programme\McAfee\SiteAdvisor [2010/09/19 07:16:07 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/03/18 15:20:07 | 000,000,000 | ---D | M] FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/02/19 05:18:17 | 000,000,000 | ---D | M] [2008/08/24 03:51:41 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Mozilla\Extensions [2012/01/08 10:13:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Mozilla\Firefox\Profiles\vcxhh0c6.default\extensions [2008/11/08 07:45:07 | 000,005,711 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Mozilla\Firefox\Profiles\vcxhh0c6.default\searchplugins\search-the-web.xml [2012/02/19 05:18:22 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions File not found (No name found) -- [2012/03/18 15:20:07 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll [2008/09/19 17:55:32 | 000,479,232 | ---- | M] (Microsoft Corporation) -- C:\Programme\mozilla firefox\plugins\msvcm80.dll [2008/09/19 17:55:32 | 000,548,864 | ---- | M] (Microsoft Corporation) -- C:\Programme\mozilla firefox\plugins\msvcp80.dll [2008/09/19 17:55:32 | 000,626,688 | ---- | M] (Microsoft Corporation) -- C:\Programme\mozilla firefox\plugins\msvcr80.dll [2011/02/02 16:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll [2010/12/09 06:47:06 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll [2012/02/19 05:18:12 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml [2012/02/19 05:18:12 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml [2012/02/19 05:18:12 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml [2012/01/08 09:30:03 | 000,002,048 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\fcmdSrch.xml [2012/02/19 05:18:12 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml [2012/02/19 05:18:12 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml [2012/02/19 05:18:12 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml O1 HOSTS File: ([2003/06/20 08:00:00 | 000,000,820 | ---- | M]) - C:\WINNT\system32\drivers\etc\hosts O1 - Hosts: 127.0.0.1 localhost O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found. O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated) O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - C:\Programme\McAfee\MSK\mskapbho.dll () O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Programme\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll (facemoods.com BHO) O2 - BHO: (AOL Toolbar Launcher) - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll (AOL LLC) O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll (McAfee, Inc.) O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - C:\Programme\McAfee\SiteAdvisor\McIEPlg.dll () O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION) O3 - HKLM\..\Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found. O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - C:\Programme\McAfee\SiteAdvisor\McIEPlg.dll () O3 - HKLM\..\Toolbar: (&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx (Microsoft Corporation) O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Programme\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll (facemoods.com) O3 - HKLM\..\Toolbar: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll (AOL LLC) O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION) O3 - HKU\Fürmann_ON_C\..\Toolbar\WebBrowser: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll (AOL LLC) O3 - HKU\Fürmann_ON_C\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION) O4 - HKLM..\Run: [] File not found O4 - HKLM..\Run: [Alcmtr] C:\WINNT\Alcmtr.exe (Realtek Semiconductor Corp.) O4 - HKLM..\Run: [facemoods] C:\Programme\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (facemoods.com) O4 - HKLM..\Run: [gema] C:\WINNT\system32\gema.exe (Veoj) O4 - HKLM..\Run: [gema.] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Veoj) O4 - HKLM..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\aol\1199616920\ee\aolsoftware.exe (America Online, Inc.) O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Ahead Software AG) O4 - HKLM..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc.) O4 - HKLM..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe (Ahead Software Gmbh) O4 - HKLM..\Run: [NvCplDaemon] C:\WINNT\System32\NvCpl.dll (NVIDIA Corporation) O4 - HKLM..\Run: [nwiz] C:\WINNT\System32\nwiz.exe () O4 - HKLM..\Run: [RoxWatchTray] C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe (Sonic Solutions) O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.) O4 - HKLM..\Run: [UnlockerAssistant] C:\Programme\Unlocker\UnlockerAssistant.exe () O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.) O4 - HKU\.DEFAULT..\Run: [internat.exe] C:\WINNT\System32\internat.exe (Microsoft Corporation) O4 - HKU\Fürmann_ON_C..\Run: [EPSON Stylus S20 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_FATIEAE.EXE (SEIKO EPSON CORPORATION) O4 - HKU\Fürmann_ON_C..\Run: [ffdwnd] File not found O4 - HKU\Fürmann_ON_C..\Run: [gema] C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe (Veoj) O4 - HKU\Fürmann_ON_C..\Run: [Seekcopy] File not found O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.) O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Belkin Dienstprogramm für kabellose Netzwerke.lnk = C:\Programme\Belkin\F5D8053\v6\Belkinwcui.exe (Belkin International, Inc.) O8 - Extra context menu item: &AOL Toolbar-Suche - C:\Programme\AOL\AOL Toolbar 4.0\resources\de-DE\local\search.html () O9 - Extra Button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll (AOL LLC) O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\WINNT\system32\rnr20.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINNT\system32\msafd.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINNT\system32\msafd.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINNT\system32\msafd.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\WINNT\system32\msafd.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\WINNT\system32\msafd.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\WINNT\system32\msafd.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\WINNT\system32\msafd.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\WINNT\system32\msafd.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\WINNT\system32\msafd.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\WINNT\system32\msafd.dll (Microsoft Corporation) O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\WINNT\system32\msafd.dll (Microsoft Corporation) O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1217688014328 (MUWebControl Class) O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22) O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object) O16 - DPF: CabBuilder hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab (Reg Error: Key error.) O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation) O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - C:\Programme\McAfee\SiteAdvisor\McIEPlg.dll () O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINNT\system32\msdxm.ocx (Microsoft Corporation) O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINNT\explorer.exe (Microsoft Corporation) O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Veoj) O20 - HKLM Winlogon: UserInit - (C:\WINNT\system32\gema.exe) - C:\WINNT\system32\gema.exe (Veoj) O20 - HKU\Fürmann_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe (Veoj) O20 - HKU\Fürmann_ON_C Winlogon: Shell - (Explorer.exe) - C:\WINNT\explorer.exe (Microsoft Corporation) O20 - Winlogon\Notify\wzcnotif: DllName - wzcdlg.dll - C:\WINNT\System32\wzcdlg.dll (Microsoft Corporation) O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home O32 - HKLM CDRom: AutoRun - 1 O32 - AutoRun File - [2007/12/28 08:59:34 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ] O32 - AutoRun File - [2007/08/14 12:28:32 | 000,000,000 | ---D | M] - D:\autorun -- [ FAT32 ] O32 - AutoRun File - [2006/11/03 12:58:30 | 000,000,038 | -H-- | M] () - D:\autorun.inf -- [ FAT32 ] O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ] O34 - HKLM BootExecute: (autocheck autochk *) - File not found O35 - HKLM\..comfile [open] -- "%1" %* O35 - HKLM\..exefile [open] -- "%1" %* O37 - HKLM\...com [@ = comfile] -- "%1" %* O37 - HKLM\...exe [@ = exefile] -- "%1" %* ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player ActiveX: {08a00762-7c1e-42c2-87f0-ca3600045cd7} - KB941202 ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun) ActiveX: {0fde1f56-0d59-4fd7-9624-e3df6b419d0e} - Internet Explorer ReadMe ActiveX: {0fde1f56-0d59-4fd7-9624-e3df6b419d0f} - IEEX ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vector Graphics Rendering (VML) ActiveX: {110e3a85-a9d6-4220-a14a-d39588fa4763} - KB947864 ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player ActiveX: {1b0357b8-e3fb-4918-915c-a8eb232c273e} - KB973354 ActiveX: {1d52d05a-f63b-496e-80ff-2f46fd261fd4} - KB956390 ActiveX: {1d939273-21ce-4e7f-be14-490866ec66c2} - KB976325 ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4 ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java ActiveX: {390e5bb4-1d89-4343-b62d-b76303708a1d} - KB969897 ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe ActiveX: {3c0d61fe-1db3-4d0b-8477-3cb53eab9469} - KB951066 ActiveX: {3e843540-63b3-42d7-9f4d-812ffd1e767a} - KB974455 ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015C} - Microsoft DirectX ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6 ActiveX: {4fbff6eb-7540-4f56-a35e-50ff06f9d941} - KB978207 ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW ActiveX: {5f3c70b3-ac2f-432c-8f9c-1624df61f54f} - Microsoft Data Access Components KB870669 ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen ActiveX: {685e3910-1f77-49b9-9434-50bcd95c51ab} - KB905495 ActiveX: {6A5110B5-E14B-4268-A065-EF89FF33C325} - regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Webordner ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install ActiveX: {7da6528e-45a6-4022-9e41-c45a8cf33eb5} - KB963027 ActiveX: {80b81c71-14cd-41c3-9e8c-08b9e06d02ef} - KB960714 ActiveX: {86f63941-db5d-4de3-818f-f81f90afb602} - KB978542 ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINNT\system32\Rundll32.exe C:\WINNT\system32\mscories.dll,Install ActiveX: {90b0bef8-22d6-40a8-92c8-155434fc112f} - KB938127 ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding ActiveX: {9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} - %SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl ActiveX: {A00BF2EB-56EE-4fde-B5EA-6A8FA425B2A5} - W2KAppComp ActiveX: {a99b636e-f3ca-4adc-bcde-a4b451cd65d4} - KB942615 ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework ActiveX: {b6609c7e-4ad5-4b8b-9da5-9edbc50f7592} - KB958869 ActiveX: {bfb9c191-4d2f-49bd-aa21-4308475e1cc7} - KB980182 ActiveX: {c1f0071f-505e-40bc-babe-3240af80b5cf} - KB950759 ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player ActiveX: {da53c936-c804-4f62-a1d2-6cf6d1591b66} - KB948881 ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe ActiveX: {e41091c0-06d5-474f-836e-dd190348ea18} - KB958215 ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface ActiveX: {ee714f0a-76c6-4126-a55e-1e43c11884a7} - KB944533 ActiveX: {f156e5b2-f52e-4094-800c-e7392fe62314} - KB938464 ActiveX: {f351bc8e-a11b-44ba-a436-cee0d27e3abb} - KB976749 ActiveX: {f3d9c2d1-579f-4d41-95ba-5354eeb398d0} - KB972260 ActiveX: {f51becec-f7b3-4401-a2f3-88387ad7722b} - KB982381 ActiveX: {fd4aedf6-1163-4f9c-bbf2-11aec5b873b0} - KB953838 ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINNT\inf\unregmp2.exe /ShowWMP ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - "C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigIE ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - "C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigOE NetSvcs: Ias - File not found NetSvcs: Iprip - File not found NetSvcs: Nwsapagent - File not found ========== Files/Folders - Created Within 30 Days ========== [2012/03/31 12:28:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema [2012/03/31 12:28:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema [2012/03/31 12:28:29 | 000,237,568 | ---- | C] (Veoj) -- C:\WINNT\System32\gema.exe [2012/03/22 16:51:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Fürmann\Desktop\02_MDNA (Deluxe Edition) [2012/03/11 10:36:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Fürmann\Desktop\bilder_ebay [2012/03/09 08:51:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Fürmann\Desktop\03_Jean-Roch - Music Saved My Life [2 C:\WINNT\*.tmp files -> C:\WINNT\*.tmp -> ] [1 C:\WINNT\System32\*.tmp files -> C:\WINNT\System32\*.tmp -> ] ========== Files - Modified Within 30 Days ========== [2012/03/31 12:45:21 | 000,013,751 | ---- | M] () -- C:\WINNT\System32\Config.MPF [2012/03/31 12:45:21 | 000,008,212 | ---- | M] () -- C:\WINNT\mfebcdata [2012/03/31 12:28:28 | 000,237,568 | ---- | M] (Veoj) -- C:\WINNT\System32\gema.exe [2012/03/31 12:13:11 | 000,030,884 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\16engOPC1109_sample.pdf [2012/03/31 12:13:02 | 000,035,625 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\15engIPC1110_sample.pdf [2012/03/29 16:22:46 | 000,196,608 | ---- | M] () -- C:\WINNT\System32\drivers\nStandard.bin [2012/03/27 12:37:00 | 000,000,276 | ---- | M] () -- C:\WINNT\tasks\AppleSoftwareUpdate.job [2012/03/25 17:17:20 | 001,284,100 | -H-- | M] () -- C:\WINNT\ShellIconCache [2012/03/25 11:28:25 | 000,014,669 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\Reiseliste.odt [2012/03/25 10:33:22 | 000,002,097 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\iTunes.lnk [2012/03/25 08:41:25 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_7bc.dat [2012/03/25 08:38:48 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_29c.dat [2012/03/21 16:24:22 | 000,378,550 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\Unbenannt-12Kopie.jpg [2012/03/21 16:07:34 | 000,495,778 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\Unbenannt-1 Kopie.jpg [2012/03/18 17:57:03 | 000,001,473 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk [2 C:\WINNT\*.tmp files -> C:\WINNT\*.tmp -> ] [1 C:\WINNT\System32\*.tmp files -> C:\WINNT\System32\*.tmp -> ] ========== Files Created - No Company Name ========== [2012/03/31 12:45:21 | 000,008,212 | ---- | C] () -- C:\WINNT\mfebcdata [2012/03/31 12:13:11 | 000,030,884 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\16engOPC1109_sample.pdf [2012/03/31 12:13:02 | 000,035,625 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\15engIPC1110_sample.pdf [2012/03/25 11:13:38 | 000,014,669 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\Reiseliste.odt [2012/03/25 08:41:25 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_7bc.dat [2012/03/25 08:38:48 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_29c.dat [2012/03/21 16:24:21 | 000,378,550 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\Unbenannt-12Kopie.jpg [2012/03/21 16:07:33 | 000,495,778 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\Unbenannt-1 Kopie.jpg [2012/02/11 07:37:03 | 000,000,256 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\pool.bin [2012/02/04 04:42:19 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_414.dat [2011/10/25 13:18:57 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_770.dat [2011/09/22 07:47:39 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_a48.dat [2011/09/22 07:45:52 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_760.dat [2011/09/22 05:54:21 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_694.dat [2011/05/25 13:53:37 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_540.dat [2010/03/16 08:29:17 | 000,000,206 | ---- | C] () -- C:\WINNT\System32\MRT.INI [2010/03/12 15:46:38 | 000,000,032 | ---- | C] () -- C:\WINNT\Menu.INI [2010/01/06 10:58:03 | 000,178,176 | ---- | C] () -- C:\WINNT\System32\unrar.dll [2009/10/17 16:43:35 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_a80.dat [2009/10/11 11:07:10 | 000,000,256 | ---- | C] () -- C:\WINNT\System32\pool.bin [2009/09/01 16:10:36 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_3dc.dat [2009/08/05 16:37:07 | 000,111,932 | ---- | C] () -- C:\WINNT\System32\EPPICPrinterDB.dat [2009/08/05 16:37:07 | 000,031,053 | ---- | C] () -- C:\WINNT\System32\EPPICPattern131.dat [2009/08/05 16:37:07 | 000,027,417 | ---- | C] () -- C:\WINNT\System32\EPPICPattern121.dat [2009/08/05 16:37:07 | 000,026,154 | ---- | C] () -- C:\WINNT\System32\EPPICPattern1.dat [2009/08/05 16:37:07 | 000,024,903 | ---- | C] () -- C:\WINNT\System32\EPPICPattern3.dat [2009/08/05 16:37:07 | 000,021,390 | ---- | C] () -- C:\WINNT\System32\EPPICPattern5.dat [2009/08/05 16:37:07 | 000,020,148 | ---- | C] () -- C:\WINNT\System32\EPPICPattern2.dat [2009/08/05 16:37:07 | 000,011,811 | ---- | C] () -- C:\WINNT\System32\EPPICPattern4.dat [2009/08/05 16:37:07 | 000,004,943 | ---- | C] () -- C:\WINNT\System32\EPPICPattern6.dat [2009/08/05 16:37:07 | 000,001,146 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_DU.dat [2009/08/05 16:37:07 | 000,001,139 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_PT.dat [2009/08/05 16:37:07 | 000,001,139 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_BP.dat [2009/08/05 16:37:07 | 000,001,136 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_ES.dat [2009/08/05 16:37:07 | 000,001,129 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_FR.dat [2009/08/05 16:37:07 | 000,001,129 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_CF.dat [2009/08/05 16:37:07 | 000,001,120 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_IT.dat [2009/08/05 16:37:07 | 000,001,107 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_GE.dat [2009/08/05 16:37:07 | 000,001,104 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_EN.dat [2009/08/05 16:37:07 | 000,000,097 | ---- | C] () -- C:\WINNT\System32\PICSDK.ini [2009/08/05 16:35:47 | 000,000,025 | ---- | C] () -- C:\WINNT\CSES20.ini [2009/03/29 11:40:34 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_d30.dat [2009/03/29 10:36:40 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_3ac.dat [2008/11/08 07:44:02 | 000,339,968 | ---- | C] () -- C:\WINNT\System32\pythoncom25.dll [2008/11/08 07:44:02 | 000,114,688 | ---- | C] () -- C:\WINNT\System32\pywintypes25.dll [2008/08/30 14:19:18 | 000,019,968 | ---- | C] () -- C:\WINNT\System32\Cpuinf32.dll [2008/07/16 16:09:45 | 000,009,728 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini [2008/03/23 10:29:14 | 000,000,182 | ---- | C] () -- C:\WINNT\System32\EBPPORT4.DAT [2008/03/23 10:28:59 | 000,000,025 | ---- | C] () -- C:\WINNT\CDESC86Euro.ini [2008/03/02 11:11:00 | 000,000,086 | ---- | C] () -- C:\WINNT\NeroDigital.ini [2008/02/10 11:02:19 | 000,000,025 | ---- | C] () -- C:\WINNT\cdplayer.ini [2008/02/10 10:13:24 | 000,383,238 | ---- | C] () -- C:\WINNT\System32\libmp3lame-0.dll [2008/02/06 15:02:17 | 000,002,191 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache [2008/02/01 16:54:08 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_12f0.dat [2008/01/09 05:34:28 | 000,000,109 | ---- | C] () -- C:\WINNT\Backup.INI [2008/01/09 04:14:58 | 000,002,951 | ---- | C] () -- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Config.nt.bak [2008/01/09 04:14:58 | 000,000,820 | ---- | C] () -- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\hosts.bak [2008/01/09 04:14:58 | 000,000,487 | ---- | C] () -- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Autoexec.nt.bak [2008/01/09 04:12:02 | 000,000,103 | ---- | C] () -- C:\WINNT\ODBC.INI [2008/01/06 12:11:09 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_304.dat [2008/01/06 10:34:51 | 000,005,852 | -HS- | C] () -- C:\WINNT\System32\KGyGaAvL.sys [2008/01/06 10:34:51 | 000,000,056 | RHS- | C] () -- C:\WINNT\System32\2AD7A1E236.sys [2008/01/06 06:55:15 | 000,000,335 | ---- | C] () -- C:\WINNT\nsreg.dat [2007/12/31 04:59:43 | 000,000,251 | ---- | C] () -- C:\WINNT\System32\oeminfo.ini [2007/12/28 10:04:25 | 000,354,816 | ---- | C] () -- C:\WINNT\System32\psisdecd.dll [2007/12/28 09:55:32 | 000,003,972 | ---- | C] () -- C:\WINNT\System32\drivers\PciBus.sys [2007/12/28 09:41:44 | 000,643,142 | ---- | C] () -- C:\WINNT\aticlocklib.dll [2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\nVivid.bin [2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\nStandard.bin [2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\nAsmedia.bin [2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\nAdvanced.bin [2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\aVivid.bin [2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\aStandard.bin [2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\aAsmedia.bin [2007/12/28 09:41:44 | 000,110,592 | ---- | C] () -- C:\WINNT\R5ClkLib.dll [2007/12/28 09:41:44 | 000,020,480 | ---- | C] () -- C:\WINNT\HyperDrive.exe [2007/12/28 09:41:43 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\aAdvanced.bin [2007/12/28 09:41:43 | 000,000,018 | ---- | C] () -- C:\WINNT\System32\atkid.ini [2007/12/28 09:41:42 | 000,046,592 | ---- | C] () -- C:\WINNT\System32\asfrench.dll [2007/12/28 09:41:42 | 000,046,080 | ---- | C] () -- C:\WINNT\System32\asrussian.dll [2007/12/28 09:41:42 | 000,046,080 | ---- | C] () -- C:\WINNT\System32\asgerman.dll [2007/12/28 09:41:42 | 000,046,080 | ---- | C] () -- C:\WINNT\System32\aseng.dll [2007/12/28 09:41:42 | 000,045,568 | ---- | C] () -- C:\WINNT\System32\askorean.dll [2007/12/28 09:41:42 | 000,045,568 | ---- | C] () -- C:\WINNT\System32\asjapan.dll [2007/12/28 09:41:42 | 000,045,568 | ---- | C] () -- C:\WINNT\System32\ASCHT.dll [2007/12/28 09:41:42 | 000,045,568 | ---- | C] () -- C:\WINNT\System32\aschs.dll [2007/12/28 09:06:54 | 000,049,152 | R--- | C] () -- C:\WINNT\System32\ChCfg.exe [2007/12/28 09:03:29 | 000,005,810 | R--- | C] () -- C:\WINNT\System32\drivers\ASACPI.sys [2007/12/28 09:03:28 | 000,015,620 | ---- | C] () -- C:\WINNT\Ascd_tmp.ini [2007/12/28 09:03:23 | 000,010,288 | ---- | C] () -- C:\WINNT\System32\drivers\ASUSHWIO.SYS [2007/12/28 08:59:16 | 000,022,080 | -H-- | C] () -- C:\Programme\folder.htt [2007/12/28 08:58:47 | 000,015,076 | ---- | C] () -- C:\WINNT\System32\emptyregdb.dat [2007/12/28 08:49:34 | 000,004,073 | ---- | C] () -- C:\WINNT\ODBCINST.INI [2007/12/28 08:49:13 | 000,186,608 | ---- | C] () -- C:\WINNT\System32\FNTCACHE.DAT [2007/04/12 11:44:00 | 001,703,936 | ---- | C] () -- C:\WINNT\System32\nvwdmcpl.dll [2007/04/12 11:44:00 | 001,626,112 | ---- | C] () -- C:\WINNT\System32\nwiz.exe [2007/04/12 11:44:00 | 001,474,560 | ---- | C] () -- C:\WINNT\System32\nview.dll [2007/04/12 11:44:00 | 001,339,392 | ---- | C] () -- C:\WINNT\System32\nvdspsch.exe [2007/04/12 11:44:00 | 001,019,904 | ---- | C] () -- C:\WINNT\System32\nvwimg.dll [2007/04/12 11:44:00 | 000,929,744 | ---- | C] () -- C:\WINNT\System32\nvucode.bin [2007/04/12 11:44:00 | 000,466,944 | ---- | C] () -- C:\WINNT\System32\nvshell.dll [2007/04/12 11:44:00 | 000,442,368 | ---- | C] () -- C:\WINNT\System32\nvappbar.exe [2007/04/12 11:44:00 | 000,425,984 | ---- | C] () -- C:\WINNT\System32\keystone.exe [2007/04/12 11:44:00 | 000,286,720 | ---- | C] () -- C:\WINNT\System32\nvnt4cpl.dll [2004/10/26 18:39:05 | 003,375,104 | ---- | C] () -- C:\WINNT\System32\qt-mt331.dll [2003/06/20 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINNT\System32\mlang.dat [2003/06/20 08:00:00 | 000,385,894 | ---- | C] () -- C:\WINNT\System32\perfh009.dat [2003/06/20 08:00:00 | 000,383,366 | ---- | C] () -- C:\WINNT\System32\perfh007.dat [2003/06/20 08:00:00 | 000,272,492 | ---- | C] () -- C:\WINNT\System32\perfi009.dat [2003/06/20 08:00:00 | 000,252,934 | ---- | C] () -- C:\WINNT\System32\perfi007.dat [2003/06/20 08:00:00 | 000,217,359 | ---- | C] () -- C:\WINNT\System32\dssec.dat [2003/06/20 08:00:00 | 000,176,400 | ---- | C] () -- C:\WINNT\System32\qcut.dll [2003/06/20 08:00:00 | 000,070,210 | ---- | C] () -- C:\WINNT\System32\perfc007.dat [2003/06/20 08:00:00 | 000,057,488 | ---- | C] () -- C:\WINNT\System32\perfc009.dat [2003/06/20 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINNT\System32\mib.bin [2003/06/20 08:00:00 | 000,034,108 | ---- | C] () -- C:\WINNT\System32\perfd007.dat [2003/06/20 08:00:00 | 000,034,064 | ---- | C] () -- C:\WINNT\System32\efsadu.dll [2003/06/20 08:00:00 | 000,028,270 | ---- | C] () -- C:\WINNT\System32\perfd009.dat [2003/06/20 08:00:00 | 000,014,413 | ---- | C] () -- C:\WINNT\System32\iasperf.ini [2003/06/20 08:00:00 | 000,003,056 | ---- | C] () -- C:\WINNT\System32\faxperf.ini [2003/06/20 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINNT\System32\noise.dat [2003/06/20 08:00:00 | 000,000,023 | ---- | C] () -- C:\WINNT\welcome.ini [2002/08/07 07:06:22 | 000,045,056 | ---- | C] () -- C:\WINNT\System32\dsrmp4.dll [1999/09/25 06:36:24 | 000,088,816 | ---- | C] () -- C:\WINNT\System32\drivers\lvcam.sys [1999/09/25 06:36:22 | 000,017,424 | ---- | C] () -- C:\WINNT\System32\drivers\lvsound.sys ========== LOP Check ========== [2008/11/08 07:44:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\agi [2011/04/30 06:30:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\SACore [2008/09/14 05:02:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Any Video Converter [2009/11/26 11:39:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Azureus [2012/01/08 09:31:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\facemoods.com [2012/03/31 12:28:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema [2011/07/05 15:59:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\GetRightToGo [2012/01/25 11:01:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\OpenOffice.org [2008/11/10 16:49:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Pioneer [2011/12/24 10:30:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\QuickStoresToolbar [2008/02/24 11:47:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\RapidSolution Software AG [2009/10/11 11:07:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Research In Motion [2008/11/23 10:52:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Roni Music [2011/07/21 17:19:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\SynthMaker [2008/07/16 16:09:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\XnView [2008/01/07 15:40:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus [2009/08/05 16:36:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON [2009/08/29 12:57:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA [2012/03/31 12:28:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema [2008/01/26 17:19:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft [2010/05/09 04:57:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP [2009/08/05 16:38:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL [2010/12/31 20:00:15 | 000,000,336 | ---- | M] () -- C:\WINNT\Tasks\McQcTask.job ========== Purity Check ========== ========== Custom Scans ========== < %SYSTEMDRIVE%\*. > [2008/01/09 04:11:42 | 000,000,000 | -HSD | M] -- C:\#GDATA.Trash.Store# [2009/08/29 13:11:44 | 000,000,000 | ---D | M] -- C:\Boot [2008/10/12 10:15:03 | 000,000,000 | ---D | M] -- C:\divx [2007/12/28 09:02:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen [2011/09/01 16:18:44 | 000,000,000 | ---D | M] -- C:\Downloads [2008/08/21 15:43:26 | 000,000,000 | ---D | M] -- C:\DrWatson [2007/12/28 09:03:40 | 000,000,000 | ---D | M] -- C:\Intel [2009/04/12 15:53:54 | 000,000,000 | ---D | M] -- C:\my music [2009/10/10 17:30:36 | 000,000,000 | ---D | M] -- C:\PROGRAM FILES [2012/02/03 18:06:46 | 000,000,000 | R--D | M] -- C:\Programme [2008/01/06 07:22:06 | 000,000,000 | -HSD | M] -- C:\RECYCLER [2012/04/01 17:16:49 | 000,000,000 | -HSD | M] -- C:\System Volume Information [2008/04/13 16:13:36 | 000,000,000 | ---D | M] -- C:\th [2012/03/31 12:45:21 | 000,000,000 | ---D | M] -- C:\WINNT < %PROGRAMFILES%\*.exe > Invalid Environment Variable: %LOCALAPPDATA%\*.exe < %systemroot%\*. /mp /s > < MD5 for: AGP440.SYS > [2003/06/20 08:00:00 | 006,586,449 | ---- | M] () .cab file -- C:\WINNT\Driver Cache\i386\sp4.cab:AGP440.sys < MD5 for: ATAPI.SYS > [2003/06/20 08:00:00 | 006,586,449 | ---- | M] () .cab file -- C:\WINNT\Driver Cache\i386\sp4.cab:atapi.sys [2003/06/19 07:05:04 | 000,086,672 | ---- | M] (Microsoft Corporation) MD5=8C718AA8C77041B3285D55A0CE980867 -- C:\WINNT\system32\dllcache\atapi.sys [2003/06/19 07:05:04 | 000,086,672 | ---- | M] (Microsoft Corporation) MD5=8C718AA8C77041B3285D55A0CE980867 -- C:\WINNT\system32\drivers\atapi.sys < MD5 for: EVENTLOG.DLL > [2005/06/03 03:44:44 | 000,049,424 | ---- | M] (Microsoft Corporation) MD5=ABA7CF4DEA4975E37692DFA1DBCE1B79 -- C:\WINNT\system32\dllcache\EVENTLOG.DLL [2005/06/03 03:44:44 | 000,049,424 | ---- | M] (Microsoft Corporation) MD5=ABA7CF4DEA4975E37692DFA1DBCE1B79 -- C:\WINNT\system32\EVENTLOG.DLL [2003/06/20 08:00:00 | 000,047,888 | ---- | M] (Microsoft Corporation) MD5=F5DB4550941A365A49C400BC3C0090DE -- C:\WINNT\$NtUpdateRollupPackUninstall$\eventlog.dll < MD5 for: EXPLORER.EXE > [2003/06/20 08:00:00 | 000,245,008 | ---- | M] (Microsoft Corporation) MD5=9A067872F0A9DC15E93DBEFC9E1453A7 -- C:\WINNT\explorer.exe [2003/06/20 08:00:00 | 000,245,008 | ---- | M] (Microsoft Corporation) MD5=9A067872F0A9DC15E93DBEFC9E1453A7 -- C:\WINNT\system32\dllcache\explorer.exe < MD5 for: NETLOGON.DLL > [2005/06/03 03:44:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\system32\dllcache\NETLOGON.DLL [2005/06/03 03:44:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\system32\NETLOGON.DLL [2003/06/20 08:00:00 | 000,371,984 | ---- | M] (Microsoft Corporation) MD5=AFFDAF795FF9B3A8AAA5A36E95FB11E6 -- C:\WINNT\$NtUpdateRollupPackUninstall$\netlogon.dll < MD5 for: SCECLI.DLL > [2003/06/20 08:00:00 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F596F47F60D63D79BD91E91919988481 -- C:\WINNT\$NtUpdateRollupPackUninstall$\scecli.dll [2005/06/03 03:44:44 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F7B05B1A74D0F1C23D4D14C77F50A819 -- C:\WINNT\system32\dllcache\scecli.dll [2005/06/03 03:44:44 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F7B05B1A74D0F1C23D4D14C77F50A819 -- C:\WINNT\system32\scecli.dll < MD5 for: USER32.DLL > [2007/03/06 07:17:36 | 000,381,712 | ---- | M] (Microsoft Corporation) MD5=3AE4FAC4D8FC34F75D7CFFB20CF1EC55 -- C:\WINNT\system32\dllcache\USER32.DLL [2007/03/06 07:17:36 | 000,381,712 | ---- | M] (Microsoft Corporation) MD5=3AE4FAC4D8FC34F75D7CFFB20CF1EC55 -- C:\WINNT\system32\USER32.DLL [2005/06/03 03:44:38 | 000,420,112 | ---- | M] (Microsoft Corporation) MD5=B462F0A99E442DBA27B80130989DDCF9 -- C:\WINNT\$NtUninstallKB925902$\user32.dll [2003/06/20 08:00:00 | 000,403,728 | ---- | M] (Microsoft Corporation) MD5=DC81AC1067AD32F39D3B673CA8345C46 -- C:\WINNT\$NtUpdateRollupPackUninstall$\user32.dll < MD5 for: USERINIT.EXE > [2003/06/20 08:00:00 | 000,017,680 | ---- | M] (Microsoft Corporation) MD5=11A1AA9DF8C44386F72018D06F2E0E71 -- C:\WINNT\system32\dllcache\userinit.exe [2003/06/20 08:00:00 | 000,017,680 | ---- | M] (Microsoft Corporation) MD5=11A1AA9DF8C44386F72018D06F2E0E71 -- C:\WINNT\system32\userinit.exe < MD5 for: WINLOGON.EXE > [2003/06/20 08:00:00 | 000,184,592 | ---- | M] (Microsoft Corporation) MD5=3EF30E020F67292F5698C8EAFDBB27EC -- C:\WINNT\$NtUpdateRollupPackUninstall$\winlogon.exe [2005/06/03 02:37:50 | 000,190,224 | ---- | M] (Microsoft Corporation) MD5=56E6FE4DED78FFD01679D467746A16F3 -- C:\WINNT\system32\dllcache\WINLOGON.EXE [2005/06/03 02:37:50 | 000,190,224 | ---- | M] (Microsoft Corporation) MD5=56E6FE4DED78FFD01679D467746A16F3 -- C:\WINNT\system32\WINLOGON.EXE [2012/01/13 09:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe < MD5 for: WS2IFSL.SYS > [2003/06/20 08:00:00 | 000,012,016 | ---- | M] (Microsoft Corporation) MD5=C8A15978B9C09023A3E096CB9B6689C5 -- C:\WINNT\system32\dllcache\ws2ifsl.sys [2003/06/20 08:00:00 | 000,012,016 | ---- | M] (Microsoft Corporation) MD5=C8A15978B9C09023A3E096CB9B6689C5 -- C:\WINNT\system32\drivers\ws2ifsl.sys < %systemroot%\system32\drivers\*.sys /lockedfiles > < %systemroot%\System32\config\*.sav > [2007/12/28 09:48:02 | 000,081,920 | ---- | M] () -- C:\WINNT\System32\config\default.sav [2007/12/28 09:48:02 | 000,540,672 | ---- | M] () -- C:\WINNT\System32\config\software.sav [2007/12/28 09:48:02 | 000,393,216 | ---- | M] () -- C:\WINNT\System32\config\system.sav < %systemroot%\system32\*.dll /lockedfiles > [2005/06/03 03:44:54 | 000,222,480 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINNT\system32\mstask.dll [2008/04/15 19:13:18 | 002,387,216 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINNT\system32\SHELL32.DLL [1 C:\WINNT\system32\*.tmp files -> C:\WINNT\system32\*.tmp -> ] Invalid Environment Variable: %USERPROFILE%\*.* Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.dll Invalid Environment Variable: %USERPROFILE%\Application Data\*.exe ========== Alternate Data Streams ========== @Alternate Data Stream - 126 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A66A990E @Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:4B7BEAFF < End of report > |
01.04.2012, 15:53 | #2 |
/// Malware-holic | GEMA-Trojaner - OTL.txt erstellt hi
__________________auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort rein: Code:
ATTFilter :OTL O4 - HKU\Fürmann_ON_C..\Run: [gema] C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe (Veoj) O4 - HKLM..\Run: [gema] C:\WINNT\system32\gema.exe (Veoj) O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Veoj) O20 - HKLM Winlogon: UserInit - (C:\WINNT\system32\gema.exe) - C:\WINNT\system32\gema.exe (Veoj) O20 - HKU\Fürmann_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe (Veoj) :Files C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema :Commands [purity] [EMPTYFLASH] [emptytemp] [Reboot] dieses speicherst du auf nem usb stick als fix.txt nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist. • Klicke nun bitte auf den Fix Button. es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick. wenn dies nicht funktioniert, bitte den fix manuell eintragen. dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen, log posten bitte. falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten! Drücke bitte die + E Taste.
__________________ |
01.04.2012, 16:16 | #3 |
| GEMA-Trojaner - OTL.txt erstellt hier der Inhalt der otl.txt
__________________========== OTL ========== Registry value HKEY_USERS\Fürmann_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\gema deleted successfully. C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\gema deleted successfully. C:\WINNT\system32\gema.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe deleted successfully. C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe moved successfully. Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINNT\system32\gema.exe deleted successfully. File C:\WINNT\system32\gema.exe not found. Registry value HKEY_USERS\Fürmann_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe deleted successfully. File C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe not found. ========== FILES ========== C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema folder moved successfully. ========== COMMANDS ========== [EMPTYFLASH] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 2847693 bytes ->Flash cache emptied: 1728 bytes User: Fürmann ->Temp folder emptied: 2091837077 bytes ->Temporary Internet Files folder emptied: 979622103 bytes ->Java cache emptied: 22102267 bytes ->FireFox cache emptied: 77439732 bytes ->Flash cache emptied: 631503 bytes Total Flash Files Cleaned = 3,027.00 mb [EMPTYTEMP] User: All Users User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Fürmann ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Java cache emptied: 0 bytes ->FireFox cache emptied: 0 bytes ->Flash cache emptied: 0 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 2951 bytes %systemroot%\System32\dllcache .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 293082378 bytes Total Files Cleaned = 280.00 mb OTLPE by OldTimer - Version 3.1.48.0 log created on 04012012_181226 Files\Folders moved on Reboot... File\Folder C:\Dokumente und Einstellungen\Fürmann\Lokale Einstellungen\Temp\Rar$DI01.375\04 XO not found! File\Folder C:\Dokumente und Einstellungen\Fürmann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WHEVOHEV\stillwatercove_1993[1]. not found! File\Folder C:\Dokumente und Einstellungen\Fürmann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4LKF25ID\Hot Chip - Hold On not found! Registry entries deleted on Reboot... Der Upload der MovedFiles.zip hat geklappt. Vielen Dank für die super schnelle Hilfe |
01.04.2012, 19:57 | #4 | |
/// Malware-holic | GEMA-Trojaner - OTL.txt erstellt danke für den upload Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!Downloade dir bitte Combofix von einem dieser Downloadspiegel Link 1 Link 2 WICHTIG - Speichere Combofix auf deinem Desktop
Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort. Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten Zitat:
__________________ -Verdächtige mails bitte an uns zur Analyse weiterleiten: markusg.trojaner-board@web.de Weiterleiten Anleitung: http://markusg.trojaner-board.de Mails bitte vorerst nach obiger Anleitung an markusg.trojaner-board@web.de Weiterleiten Wenn Ihr uns unterstützen möchtet |
Themen zu GEMA-Trojaner - OTL.txt erstellt |
.dll, 0x00000001, alternate, asus, autorun, bho, desktop, einstellungen, error, explorer, firefox, format, locker, log, logfile, nvidia, object, pdf, phishing, plug-in, realtek, rundll, scan, security, siteadvisor, software, starten, windows, winlogon.exe |