Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: GEMA-Trojaner - OTL.txt erstellt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 01.04.2012, 15:48   #1
tfuermann
 
GEMA-Trojaner - OTL.txt erstellt - Standard

GEMA-Trojaner - OTL.txt erstellt



Hallo,

habe wohl auch den GEMA-Trojaner.
Konnte im abgesicherten Modus nicht mehr starten ohne das weiße Fenster.

Habe OTL laufen lassen. Hoffe mir kann jemand helfen. Vielen Dank im Voraus.

Hier die Log:


OTL logfile created on: 4/1/2012 5:25:16 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows 2000 Service Pack 4 (Version = 5.0.2195) - Type = SYSTEM
Internet Explorer (Version = 6.0.2800.1106)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 88.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 97.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINNT | %ProgramFiles% = C:\Programme
Drive C: | 19.53 Gb Total Space | 2.39 Gb Free Space | 12.24% Space Free | Partition Type: NTFS
Drive D: | 372.51 Gb Total Space | 80.34 Gb Free Space | 21.57% Space Free | Partition Type: FAT32
Drive E: | 108.46 Gb Total Space | 27.56 Gb Free Space | 25.42% Space Free | Partition Type: NTFS
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001

========== Win32 Services (SafeList) ==========

SRV - File not found [Auto] -- -- (ufmicg)
SRV - File not found [Auto] -- -- (NMSAccess)
SRV - File not found [Unavailable] -- -- (IAS)
SRV - File not found [On_Demand] -- -- (AVK Tuner Service)
SRV - [2011/03/30 05:51:36 | 000,144,704 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\VirusScan\Mcshield.exe -- (McShield)
SRV - [2010/06/10 00:58:32 | 000,865,832 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\MSC\mcmscsvc.exe -- (mcmscsvc)
SRV - [2010/02/24 07:16:08 | 000,365,072 | ---- | M] (McAfee, Inc.) [On_Demand] -- C:\Programme\McAfee\VirusScan\mcods.exe -- (McODS)
SRV - [2010/02/17 09:53:26 | 000,606,736 | ---- | M] (McAfee, Inc.) [On_Demand] -- C:\Programme\McAfee\VirusScan\mcsysmon.exe -- (McSysmon)
SRV - [2009/10/27 05:19:46 | 000,895,696 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\MPF\MpfSrv.exe -- (MpfService)
SRV - [2009/10/02 07:02:56 | 000,026,640 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\McAfee\MSK\MskSrver.exe -- (MSK80Service)
SRV - [2009/07/08 05:54:34 | 000,359,952 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\McAfee\McProxy\McProxy.exe -- (McProxy)
SRV - [2009/07/07 13:10:02 | 002,482,848 | ---- | M] (McAfee, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\McAfee\MNA\McNASvc.exe -- (McNASvc)
SRV - [2009/04/29 07:53:32 | 000,274,432 | ---- | M] () [Auto] -- C:\Programme\Belkin\F5D8053\v6\WifiSvc.exe -- (Belkin Wifi Service)
SRV - [2009/01/23 04:46:14 | 000,203,280 | ---- | M] () [Auto] -- C:\Programme\McAfee\SiteAdvisor\McSACore.exe -- (McAfee SiteAdvisor Service)
SRV - [2008/06/08 06:24:48 | 000,313,840 | ---- | M] (Sonic Solutions) [Auto] -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe -- (RoxLiveShare9)
SRV - [2008/06/08 06:24:44 | 000,170,480 | ---- | M] (Sonic Solutions) [Auto] -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe -- (RoxWatch9)
SRV - [2008/06/08 06:24:26 | 001,108,464 | ---- | M] (Sonic Solutions) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe -- (RoxMediaDB9)
SRV - [2006/11/15 05:40:10 | 000,258,560 | ---- | M] (ASUSTeK COMPUTER INC.) [Auto] -- C:\WINNT\ATKKBService.exe -- (ATKKeyboardService)
SRV - [2006/10/23 08:50:35 | 000,046,640 | R--- | M] (AOL LLC) [Auto] -- C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe -- (AOL ACS)
SRV - [2005/06/03 02:37:10 | 000,123,152 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINNT\system32\mstask.exe -- (Schedule)
SRV - [2004/10/21 22:24:18 | 000,073,728 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe -- (IDriverT)
SRV - [2003/12/05 06:25:28 | 000,798,772 | ---- | M] (AHEAD Software) [Auto] -- C:\Programme\Ahead\InCD\incdsrv.exe -- (InCDsrv)
SRV - [2003/06/20 08:00:00 | 000,196,706 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINNT\system32\wbem\winmgmt.exe -- (WinMgmt)
SRV - [2003/06/20 08:00:00 | 000,147,728 | ---- | M] (VERITAS Software Corp.) [On_Demand] -- C:\WINNT\System32\dmadmin.exe -- (dmadmin)
SRV - [2003/06/20 08:00:00 | 000,096,016 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\WINNT\system32\faxsvc.exe -- (Fax)
SRV - [2003/06/20 08:00:00 | 000,068,368 | ---- | M] (Microsoft Corporation) [Auto] -- C:\WINNT\system32\regsvc.exe -- (RemoteRegistry)
SRV - [2003/06/20 08:00:00 | 000,022,800 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\WINNT\system32\utilman.exe -- (UtilMan)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | System] -- -- (tga)
DRV - File not found [Kernel | System] -- -- (sglfb)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2011/03/30 05:51:44 | 000,034,376 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\mferkdk.sys -- (mferkdk)
DRV - [2011/03/30 05:51:42 | 000,216,008 | ---- | M] (McAfee, Inc.) [Kernel | System] -- C:\WINNT\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2011/03/30 05:51:42 | 000,040,648 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\mfesmfk.sys -- (mfesmfk)
DRV - [2011/03/30 05:51:36 | 000,080,136 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2011/03/30 05:51:36 | 000,035,368 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2010/07/15 09:18:22 | 000,120,136 | ---- | M] (McAfee, Inc.) [Kernel | System] -- C:\WINNT\system32\drivers\Mpfp.sys -- (MPFP)
DRV - [2010/07/04 15:51:26 | 000,004,096 | ---- | M] () [Kernel | Unavailable] -- C:\Programme\Unlocker\UnlockerDriver5.sys -- (UnlockerDriver5)
DRV - [2009/05/27 11:31:44 | 000,584,832 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\RTL8192su.sys -- (RTL8192su)
DRV - [2009/04/17 05:48:36 | 000,048,128 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\spvads.sys -- (spvads) SoundPlane Audio Device (S)
DRV - [2009/01/23 06:12:13 | 000,042,496 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\RtsUCcid.sys -- (USBCCID)
DRV - [2008/06/19 11:24:30 | 000,028,544 | ---- | M] (Panda Security, S.L.) [File_System | Boot] -- C:\WINNT\system32\drivers\pavboot.sys -- (pavboot)
DRV - [2007/03/26 15:21:06 | 004,395,008 | R--- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2007/03/15 10:17:46 | 000,037,376 | R--- | M] (Attansic Technology corporation.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\atl01_2k.sys -- (AtcL001)
DRV - [2007/02/14 10:09:08 | 000,011,136 | ---- | M] (ASUSTeK COMPUTER INC.) [Kernel | System] -- C:\WINNT\system32\drivers\atkkbnt.sys -- (asuskbnt)
DRV - [2007/02/01 22:00:00 | 000,009,464 | ---- | M] (Sonic Solutions) [Kernel | System] -- C:\WINNT\System32\drivers\cdralw2k.sys -- (Cdralw2k)
DRV - [2007/02/01 22:00:00 | 000,009,336 | ---- | M] (Sonic Solutions) [Kernel | System] -- C:\WINNT\System32\drivers\cdr4_2k.sys -- (Cdr4_2K)
DRV - [2006/09/29 05:06:26 | 000,010,752 | ---- | M] (ASUSTeK COMPUTER INC.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\Video3D32.sys -- (Video3D)
DRV - [2006/06/14 08:44:30 | 000,012,288 | ---- | M] (ASUSTeK Computer Inc.) [Kernel | System] -- C:\WINNT\system32\drivers\EIO.sys -- (EIO)
DRV - [2004/08/13 14:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand] -- C:\WINNT\system32\drivers\ASACPI.sys -- (MTsensor)
DRV - [2004/07/08 21:58:10 | 000,015,104 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\mpe.sys -- (MPE)
DRV - [2003/12/05 06:27:40 | 000,028,592 | ---- | M] (Ahead Software) [Kernel | System] -- C:\WINNT\system32\drivers\incdpass.sys -- (InCDPass)
DRV - [2003/12/05 06:27:28 | 000,009,341 | ---- | M] (Ahead Software AG) [Recognizer | System] -- C:\WINNT\System32\drivers\incdrec.sys -- (InCDrec)
DRV - [2003/12/05 06:27:24 | 000,089,168 | ---- | M] (Ahead Software) [File_System | Disabled] -- C:\WINNT\System32\drivers\incdfs.sys -- (InCDfs)
DRV - [2003/08/21 11:56:36 | 000,025,520 | ---- | M] (Ahead Software AG) [Kernel | System] -- C:\WINNT\System32\drivers\incdrm.sys -- (incdrm)
DRV - [2003/06/20 08:00:00 | 000,369,104 | ---- | M] (VERITAS Software Corp.) [Kernel | Disabled] -- C:\WINNT\system32\drivers\dmboot.sys -- (dmboot)
DRV - [2003/06/20 08:00:00 | 000,137,936 | ---- | M] (VERITAS Software Corp.) [Kernel | Boot] -- C:\WINNT\system32\drivers\dmio.sys -- (dmio)
DRV - [2003/06/20 08:00:00 | 000,060,368 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINNT\System32\drivers\parallel.sys -- (Parallel)
DRV - [2003/06/20 08:00:00 | 000,027,440 | ---- | M] (Microsoft Corporation) [File_System | Disabled] -- C:\WINNT\System32\drivers\efs.sys -- (EFS)
DRV - [2003/06/20 08:00:00 | 000,021,712 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\rca.sys -- (RCA) Microsoft Streaming Network-RCA (Raw Channel Access)
DRV - [2003/06/20 08:00:00 | 000,009,680 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\netdtect.sys -- (NetDetect)
DRV - [2003/06/20 08:00:00 | 000,007,728 | ---- | M] (Microsoft Corporation) [Kernel | Boot] -- C:\WINNT\System32\drivers\diskperf.sys -- (Diskperf)
DRV - [2003/06/20 08:00:00 | 000,007,312 | ---- | M] (VERITAS Software Corp.) [Kernel | Boot] -- C:\WINNT\system32\drivers\dmload.sys -- (dmload)
DRV - [2003/06/19 07:05:04 | 000,049,776 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\usbhub20.sys -- (usbhub20)
DRV - [2003/06/19 07:05:04 | 000,032,848 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\uhcd.sys -- (uhcd)
DRV - [2003/01/10 17:13:04 | 000,033,588 | R--- | M] (America Online, Inc.) [Kernel | On_Demand] -- C:\WINNT\system32\drivers\wanatw4.sys -- (wanatw) WAN Miniport (ATW)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://start.facemoods.com/?a=ddrnw&s={searchTerms}&f=4


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Fürmann_ON_C\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
IE - HKU\Fürmann_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://start.facemoods.com/?a=ddrnw
IE - HKU\Fürmann_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

========== FireFox ==========

FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {B7082FAA-CB62-4872-9106-E42DD88EDE45}:2.8
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
FF - prefs.js..keyword.URL: "hxxp://kwtb.search.imgag.com/?c=GNKIW29193&sbs=1&sc=2&f=web&vernum=1.0&uid=&did=f8d4a70c-98e2-4081-901d-01bf93043ede&q="

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINNT\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Web Player\npdivx32.dll (DivX,Inc.)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Player Plugin,version=1.0.0: C:\Programme\DivX\DivX Player\npDivxPlayerPlugin.dll (DivX, Inc)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@pandasecurity.com/activescan: C:\Programme\Panda Security\ActiveScan 2.0\npwrapper.dll (Panda Security)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.11.2852: C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.2.2910: C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.1662: C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:

FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{B7082FAA-CB62-4872-9106-E42DD88EDE45}: C:\Programme\McAfee\SiteAdvisor [2010/09/19 07:16:07 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/03/18 15:20:07 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/02/19 05:18:17 | 000,000,000 | ---D | M]

[2008/08/24 03:51:41 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Mozilla\Extensions
[2012/01/08 10:13:18 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Mozilla\Firefox\Profiles\vcxhh0c6.default\extensions
[2008/11/08 07:45:07 | 000,005,711 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Mozilla\Firefox\Profiles\vcxhh0c6.default\searchplugins\search-the-web.xml
[2012/02/19 05:18:22 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) --
[2012/03/18 15:20:07 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2008/09/19 17:55:32 | 000,479,232 | ---- | M] (Microsoft Corporation) -- C:\Programme\mozilla firefox\plugins\msvcm80.dll
[2008/09/19 17:55:32 | 000,548,864 | ---- | M] (Microsoft Corporation) -- C:\Programme\mozilla firefox\plugins\msvcp80.dll
[2008/09/19 17:55:32 | 000,626,688 | ---- | M] (Microsoft Corporation) -- C:\Programme\mozilla firefox\plugins\msvcr80.dll
[2011/02/02 16:40:24 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2010/12/09 06:47:06 | 000,012,800 | ---- | M] (Nullsoft, Inc.) -- C:\Programme\mozilla firefox\plugins\npwachk.dll
[2012/02/19 05:18:12 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/02/19 05:18:12 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/02/19 05:18:12 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/01/08 09:30:03 | 000,002,048 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\fcmdSrch.xml
[2012/02/19 05:18:12 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/02/19 05:18:12 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/02/19 05:18:12 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml

O1 HOSTS File: ([2003/06/20 08:00:00 | 000,000,820 | ---- | M]) - C:\WINNT\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - C:\Programme\McAfee\MSK\mskapbho.dll ()
O2 - BHO: (CescrtHlpr Object) - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Programme\facemoods.com\facemoods\1.4.17.11\bh\facemoods.dll (facemoods.com BHO)
O2 - BHO: (AOL Toolbar Launcher) - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll (AOL LLC)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll (McAfee, Inc.)
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - C:\Programme\McAfee\SiteAdvisor\McIEPlg.dll ()
O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKLM\..\Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - No CLSID value found.
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - C:\Programme\McAfee\SiteAdvisor\McIEPlg.dll ()
O3 - HKLM\..\Toolbar: (&Radio) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx (Microsoft Corporation)
O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Programme\facemoods.com\facemoods\1.4.17.11\facemoodsTlbr.dll (facemoods.com)
O3 - HKLM\..\Toolbar: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll (AOL LLC)
O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKU\Fürmann_ON_C\..\Toolbar\WebBrowser: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll (AOL LLC)
O3 - HKU\Fürmann_ON_C\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [Alcmtr] C:\WINNT\Alcmtr.exe (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [facemoods] C:\Programme\facemoods.com\facemoods\1.4.17.11\facemoodssrv.exe (facemoods.com)
O4 - HKLM..\Run: [gema] C:\WINNT\system32\gema.exe (Veoj)
O4 - HKLM..\Run: [gema.] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Veoj)
O4 - HKLM..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\aol\1199616920\ee\aolsoftware.exe (America Online, Inc.)
O4 - HKLM..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe (Ahead Software AG)
O4 - HKLM..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINNT\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINNT\System32\nwiz.exe ()
O4 - HKLM..\Run: [RoxWatchTray] C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe (Sonic Solutions)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [UnlockerAssistant] C:\Programme\Unlocker\UnlockerAssistant.exe ()
O4 - HKLM..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe (Nullsoft, Inc.)
O4 - HKU\.DEFAULT..\Run: [internat.exe] C:\WINNT\System32\internat.exe (Microsoft Corporation)
O4 - HKU\Fürmann_ON_C..\Run: [EPSON Stylus S20 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_FATIEAE.EXE (SEIKO EPSON CORPORATION)
O4 - HKU\Fürmann_ON_C..\Run: [ffdwnd] File not found
O4 - HKU\Fürmann_ON_C..\Run: [gema] C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe (Veoj)
O4 - HKU\Fürmann_ON_C..\Run: [Seekcopy] File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Belkin Dienstprogramm für kabellose Netzwerke.lnk = C:\Programme\Belkin\F5D8053\v6\Belkinwcui.exe (Belkin International, Inc.)
O8 - Extra context menu item: &AOL Toolbar-Suche - C:\Programme\AOL\AOL Toolbar 4.0\resources\de-DE\local\search.html ()
O9 - Extra Button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll (AOL LLC)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\WINNT\system32\rnr20.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - C:\WINNT\system32\msafd.dll (Microsoft Corporation)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1217688014328 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: CabBuilder hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab (Reg Error: Key error.)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - C:\Programme\McAfee\SiteAdvisor\McIEPlg.dll ()
O18 - Protocol\Handler\vnd.ms.radio {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINNT\system32\msdxm.ocx (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINNT\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe (Veoj)
O20 - HKLM Winlogon: UserInit - (C:\WINNT\system32\gema.exe) - C:\WINNT\system32\gema.exe (Veoj)
O20 - HKU\Fürmann_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe (Veoj)
O20 - HKU\Fürmann_ON_C Winlogon: Shell - (Explorer.exe) - C:\WINNT\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\wzcnotif: DllName - wzcdlg.dll - C:\WINNT\System32\wzcdlg.dll (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2007/12/28 08:59:34 | 000,000,000 | -H-- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2007/08/14 12:28:32 | 000,000,000 | ---D | M] - D:\autorun -- [ FAT32 ]
O32 - AutoRun File - [2006/11/03 12:58:30 | 000,000,038 | -H-- | M] () - D:\autorun.inf -- [ FAT32 ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*

ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player
ActiveX: {08a00762-7c1e-42c2-87f0-ca3600045cd7} - KB941202
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {0fde1f56-0d59-4fd7-9624-e3df6b419d0e} - Internet Explorer ReadMe
ActiveX: {0fde1f56-0d59-4fd7-9624-e3df6b419d0f} - IEEX
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vector Graphics Rendering (VML)
ActiveX: {110e3a85-a9d6-4220-a14a-d39588fa4763} - KB947864
ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player
ActiveX: {1b0357b8-e3fb-4918-915c-a8eb232c273e} - KB973354
ActiveX: {1d52d05a-f63b-496e-80ff-2f46fd261fd4} - KB956390
ActiveX: {1d939273-21ce-4e7f-be14-490866ec66c2} - KB976325
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {390e5bb4-1d89-4343-b62d-b76303708a1d} - KB969897
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {3c0d61fe-1db3-4d0b-8477-3cb53eab9469} - KB951066
ActiveX: {3e843540-63b3-42d7-9f4d-812ffd1e767a} - KB974455
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015C} - Microsoft DirectX
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {4fbff6eb-7540-4f56-a35e-50ff06f9d941} - KB978207
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5f3c70b3-ac2f-432c-8f9c-1624df61f54f} - Microsoft Data Access Components KB870669
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {685e3910-1f77-49b9-9434-50bcd95c51ab} - KB905495
ActiveX: {6A5110B5-E14B-4268-A065-EF89FF33C325} - regsvr32.exe /s /n /i:"S 2 true 3 true 4 true 5 true 6 true 7 true" initpki.dll
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {7da6528e-45a6-4022-9e41-c45a8cf33eb5} - KB963027
ActiveX: {80b81c71-14cd-41c3-9e8c-08b9e06d02ef} - KB960714
ActiveX: {86f63941-db5d-4de3-818f-f81f90afb602} - KB978542
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINNT\system32\Rundll32.exe C:\WINNT\system32\mscories.dll,Install
ActiveX: {90b0bef8-22d6-40a8-92c8-155434fc112f} - KB938127
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {9EF0045A-CDD9-438e-95E6-02B9AFEC8E11} - %SystemRoot%\system32\updcrl.exe -e -u %SystemRoot%\system32\verisignpub1.crl
ActiveX: {A00BF2EB-56EE-4fde-B5EA-6A8FA425B2A5} - W2KAppComp
ActiveX: {a99b636e-f3ca-4adc-bcde-a4b451cd65d4} - KB942615
ActiveX: {B508B3F1-A24A-32C0-B310-85786919EF28} - .NET Framework
ActiveX: {b6609c7e-4ad5-4b8b-9da5-9edbc50f7592} - KB958869
ActiveX: {bfb9c191-4d2f-49bd-aa21-4308475e1cc7} - KB980182
ActiveX: {c1f0071f-505e-40bc-babe-3240af80b5cf} - KB950759
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {D27CDB6E-AE6D-11CF-96B8-444553540000} - Adobe Flash Player
ActiveX: {da53c936-c804-4f62-a1d2-6cf6d1591b66} - KB948881
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {e41091c0-06d5-474f-836e-dd190348ea18} - KB958215
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {ee714f0a-76c6-4126-a55e-1e43c11884a7} - KB944533
ActiveX: {f156e5b2-f52e-4094-800c-e7392fe62314} - KB938464
ActiveX: {f351bc8e-a11b-44ba-a436-cee0d27e3abb} - KB976749
ActiveX: {f3d9c2d1-579f-4d41-95ba-5354eeb398d0} - KB972260
ActiveX: {f51becec-f7b3-4401-a2f3-88387ad7722b} - KB982381
ActiveX: {fd4aedf6-1163-4f9c-bbf2-11aec5b873b0} - KB953838
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINNT\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - "C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - "C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigOE

NetSvcs: Ias - File not found
NetSvcs: Iprip - File not found
NetSvcs: Nwsapagent - File not found


========== Files/Folders - Created Within 30 Days ==========

[2012/03/31 12:28:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema
[2012/03/31 12:28:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema
[2012/03/31 12:28:29 | 000,237,568 | ---- | C] (Veoj) -- C:\WINNT\System32\gema.exe
[2012/03/22 16:51:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Fürmann\Desktop\02_MDNA (Deluxe Edition)
[2012/03/11 10:36:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Fürmann\Desktop\bilder_ebay
[2012/03/09 08:51:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Fürmann\Desktop\03_Jean-Roch - Music Saved My Life
[2 C:\WINNT\*.tmp files -> C:\WINNT\*.tmp -> ]
[1 C:\WINNT\System32\*.tmp files -> C:\WINNT\System32\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2012/03/31 12:45:21 | 000,013,751 | ---- | M] () -- C:\WINNT\System32\Config.MPF
[2012/03/31 12:45:21 | 000,008,212 | ---- | M] () -- C:\WINNT\mfebcdata
[2012/03/31 12:28:28 | 000,237,568 | ---- | M] (Veoj) -- C:\WINNT\System32\gema.exe
[2012/03/31 12:13:11 | 000,030,884 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\16engOPC1109_sample.pdf
[2012/03/31 12:13:02 | 000,035,625 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\15engIPC1110_sample.pdf
[2012/03/29 16:22:46 | 000,196,608 | ---- | M] () -- C:\WINNT\System32\drivers\nStandard.bin
[2012/03/27 12:37:00 | 000,000,276 | ---- | M] () -- C:\WINNT\tasks\AppleSoftwareUpdate.job
[2012/03/25 17:17:20 | 001,284,100 | -H-- | M] () -- C:\WINNT\ShellIconCache
[2012/03/25 11:28:25 | 000,014,669 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\Reiseliste.odt
[2012/03/25 10:33:22 | 000,002,097 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\iTunes.lnk
[2012/03/25 08:41:25 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_7bc.dat
[2012/03/25 08:38:48 | 000,016,384 | ---- | M] () -- C:\WINNT\System32\Perflib_Perfdata_29c.dat
[2012/03/21 16:24:22 | 000,378,550 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\Unbenannt-12Kopie.jpg
[2012/03/21 16:07:34 | 000,495,778 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\Unbenannt-1 Kopie.jpg
[2012/03/18 17:57:03 | 000,001,473 | ---- | M] () -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk
[2 C:\WINNT\*.tmp files -> C:\WINNT\*.tmp -> ]
[1 C:\WINNT\System32\*.tmp files -> C:\WINNT\System32\*.tmp -> ]

========== Files Created - No Company Name ==========

[2012/03/31 12:45:21 | 000,008,212 | ---- | C] () -- C:\WINNT\mfebcdata
[2012/03/31 12:13:11 | 000,030,884 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\16engOPC1109_sample.pdf
[2012/03/31 12:13:02 | 000,035,625 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\15engIPC1110_sample.pdf
[2012/03/25 11:13:38 | 000,014,669 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\Reiseliste.odt
[2012/03/25 08:41:25 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_7bc.dat
[2012/03/25 08:38:48 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_29c.dat
[2012/03/21 16:24:21 | 000,378,550 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\Unbenannt-12Kopie.jpg
[2012/03/21 16:07:33 | 000,495,778 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\Desktop\Unbenannt-1 Kopie.jpg
[2012/02/11 07:37:03 | 000,000,256 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\pool.bin
[2012/02/04 04:42:19 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_414.dat
[2011/10/25 13:18:57 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_770.dat
[2011/09/22 07:47:39 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_a48.dat
[2011/09/22 07:45:52 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_760.dat
[2011/09/22 05:54:21 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_694.dat
[2011/05/25 13:53:37 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_540.dat
[2010/03/16 08:29:17 | 000,000,206 | ---- | C] () -- C:\WINNT\System32\MRT.INI
[2010/03/12 15:46:38 | 000,000,032 | ---- | C] () -- C:\WINNT\Menu.INI
[2010/01/06 10:58:03 | 000,178,176 | ---- | C] () -- C:\WINNT\System32\unrar.dll
[2009/10/17 16:43:35 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_a80.dat
[2009/10/11 11:07:10 | 000,000,256 | ---- | C] () -- C:\WINNT\System32\pool.bin
[2009/09/01 16:10:36 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_3dc.dat
[2009/08/05 16:37:07 | 000,111,932 | ---- | C] () -- C:\WINNT\System32\EPPICPrinterDB.dat
[2009/08/05 16:37:07 | 000,031,053 | ---- | C] () -- C:\WINNT\System32\EPPICPattern131.dat
[2009/08/05 16:37:07 | 000,027,417 | ---- | C] () -- C:\WINNT\System32\EPPICPattern121.dat
[2009/08/05 16:37:07 | 000,026,154 | ---- | C] () -- C:\WINNT\System32\EPPICPattern1.dat
[2009/08/05 16:37:07 | 000,024,903 | ---- | C] () -- C:\WINNT\System32\EPPICPattern3.dat
[2009/08/05 16:37:07 | 000,021,390 | ---- | C] () -- C:\WINNT\System32\EPPICPattern5.dat
[2009/08/05 16:37:07 | 000,020,148 | ---- | C] () -- C:\WINNT\System32\EPPICPattern2.dat
[2009/08/05 16:37:07 | 000,011,811 | ---- | C] () -- C:\WINNT\System32\EPPICPattern4.dat
[2009/08/05 16:37:07 | 000,004,943 | ---- | C] () -- C:\WINNT\System32\EPPICPattern6.dat
[2009/08/05 16:37:07 | 000,001,146 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_DU.dat
[2009/08/05 16:37:07 | 000,001,139 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_PT.dat
[2009/08/05 16:37:07 | 000,001,139 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_BP.dat
[2009/08/05 16:37:07 | 000,001,136 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_ES.dat
[2009/08/05 16:37:07 | 000,001,129 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_FR.dat
[2009/08/05 16:37:07 | 000,001,129 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_CF.dat
[2009/08/05 16:37:07 | 000,001,120 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_IT.dat
[2009/08/05 16:37:07 | 000,001,107 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_GE.dat
[2009/08/05 16:37:07 | 000,001,104 | ---- | C] () -- C:\WINNT\System32\EPPICPresetData_EN.dat
[2009/08/05 16:37:07 | 000,000,097 | ---- | C] () -- C:\WINNT\System32\PICSDK.ini
[2009/08/05 16:35:47 | 000,000,025 | ---- | C] () -- C:\WINNT\CSES20.ini
[2009/03/29 11:40:34 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_d30.dat
[2009/03/29 10:36:40 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_3ac.dat
[2008/11/08 07:44:02 | 000,339,968 | ---- | C] () -- C:\WINNT\System32\pythoncom25.dll
[2008/11/08 07:44:02 | 000,114,688 | ---- | C] () -- C:\WINNT\System32\pywintypes25.dll
[2008/08/30 14:19:18 | 000,019,968 | ---- | C] () -- C:\WINNT\System32\Cpuinf32.dll
[2008/07/16 16:09:45 | 000,009,728 | ---- | C] () -- C:\Dokumente und Einstellungen\Fürmann\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008/03/23 10:29:14 | 000,000,182 | ---- | C] () -- C:\WINNT\System32\EBPPORT4.DAT
[2008/03/23 10:28:59 | 000,000,025 | ---- | C] () -- C:\WINNT\CDESC86Euro.ini
[2008/03/02 11:11:00 | 000,000,086 | ---- | C] () -- C:\WINNT\NeroDigital.ini
[2008/02/10 11:02:19 | 000,000,025 | ---- | C] () -- C:\WINNT\cdplayer.ini
[2008/02/10 10:13:24 | 000,383,238 | ---- | C] () -- C:\WINNT\System32\libmp3lame-0.dll
[2008/02/06 15:02:17 | 000,002,191 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QTSBandwidthCache
[2008/02/01 16:54:08 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_12f0.dat
[2008/01/09 05:34:28 | 000,000,109 | ---- | C] () -- C:\WINNT\Backup.INI
[2008/01/09 04:14:58 | 000,002,951 | ---- | C] () -- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Config.nt.bak
[2008/01/09 04:14:58 | 000,000,820 | ---- | C] () -- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\hosts.bak
[2008/01/09 04:14:58 | 000,000,487 | ---- | C] () -- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Anwendungsdaten\Autoexec.nt.bak
[2008/01/09 04:12:02 | 000,000,103 | ---- | C] () -- C:\WINNT\ODBC.INI
[2008/01/06 12:11:09 | 000,016,384 | ---- | C] () -- C:\WINNT\System32\Perflib_Perfdata_304.dat
[2008/01/06 10:34:51 | 000,005,852 | -HS- | C] () -- C:\WINNT\System32\KGyGaAvL.sys
[2008/01/06 10:34:51 | 000,000,056 | RHS- | C] () -- C:\WINNT\System32\2AD7A1E236.sys
[2008/01/06 06:55:15 | 000,000,335 | ---- | C] () -- C:\WINNT\nsreg.dat
[2007/12/31 04:59:43 | 000,000,251 | ---- | C] () -- C:\WINNT\System32\oeminfo.ini
[2007/12/28 10:04:25 | 000,354,816 | ---- | C] () -- C:\WINNT\System32\psisdecd.dll
[2007/12/28 09:55:32 | 000,003,972 | ---- | C] () -- C:\WINNT\System32\drivers\PciBus.sys
[2007/12/28 09:41:44 | 000,643,142 | ---- | C] () -- C:\WINNT\aticlocklib.dll
[2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\nVivid.bin
[2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\nStandard.bin
[2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\nAsmedia.bin
[2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\nAdvanced.bin
[2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\aVivid.bin
[2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\aStandard.bin
[2007/12/28 09:41:44 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\aAsmedia.bin
[2007/12/28 09:41:44 | 000,110,592 | ---- | C] () -- C:\WINNT\R5ClkLib.dll
[2007/12/28 09:41:44 | 000,020,480 | ---- | C] () -- C:\WINNT\HyperDrive.exe
[2007/12/28 09:41:43 | 000,196,608 | ---- | C] () -- C:\WINNT\System32\drivers\aAdvanced.bin
[2007/12/28 09:41:43 | 000,000,018 | ---- | C] () -- C:\WINNT\System32\atkid.ini
[2007/12/28 09:41:42 | 000,046,592 | ---- | C] () -- C:\WINNT\System32\asfrench.dll
[2007/12/28 09:41:42 | 000,046,080 | ---- | C] () -- C:\WINNT\System32\asrussian.dll
[2007/12/28 09:41:42 | 000,046,080 | ---- | C] () -- C:\WINNT\System32\asgerman.dll
[2007/12/28 09:41:42 | 000,046,080 | ---- | C] () -- C:\WINNT\System32\aseng.dll
[2007/12/28 09:41:42 | 000,045,568 | ---- | C] () -- C:\WINNT\System32\askorean.dll
[2007/12/28 09:41:42 | 000,045,568 | ---- | C] () -- C:\WINNT\System32\asjapan.dll
[2007/12/28 09:41:42 | 000,045,568 | ---- | C] () -- C:\WINNT\System32\ASCHT.dll
[2007/12/28 09:41:42 | 000,045,568 | ---- | C] () -- C:\WINNT\System32\aschs.dll
[2007/12/28 09:06:54 | 000,049,152 | R--- | C] () -- C:\WINNT\System32\ChCfg.exe
[2007/12/28 09:03:29 | 000,005,810 | R--- | C] () -- C:\WINNT\System32\drivers\ASACPI.sys
[2007/12/28 09:03:28 | 000,015,620 | ---- | C] () -- C:\WINNT\Ascd_tmp.ini
[2007/12/28 09:03:23 | 000,010,288 | ---- | C] () -- C:\WINNT\System32\drivers\ASUSHWIO.SYS
[2007/12/28 08:59:16 | 000,022,080 | -H-- | C] () -- C:\Programme\folder.htt
[2007/12/28 08:58:47 | 000,015,076 | ---- | C] () -- C:\WINNT\System32\emptyregdb.dat
[2007/12/28 08:49:34 | 000,004,073 | ---- | C] () -- C:\WINNT\ODBCINST.INI
[2007/12/28 08:49:13 | 000,186,608 | ---- | C] () -- C:\WINNT\System32\FNTCACHE.DAT
[2007/04/12 11:44:00 | 001,703,936 | ---- | C] () -- C:\WINNT\System32\nvwdmcpl.dll
[2007/04/12 11:44:00 | 001,626,112 | ---- | C] () -- C:\WINNT\System32\nwiz.exe
[2007/04/12 11:44:00 | 001,474,560 | ---- | C] () -- C:\WINNT\System32\nview.dll
[2007/04/12 11:44:00 | 001,339,392 | ---- | C] () -- C:\WINNT\System32\nvdspsch.exe
[2007/04/12 11:44:00 | 001,019,904 | ---- | C] () -- C:\WINNT\System32\nvwimg.dll
[2007/04/12 11:44:00 | 000,929,744 | ---- | C] () -- C:\WINNT\System32\nvucode.bin
[2007/04/12 11:44:00 | 000,466,944 | ---- | C] () -- C:\WINNT\System32\nvshell.dll
[2007/04/12 11:44:00 | 000,442,368 | ---- | C] () -- C:\WINNT\System32\nvappbar.exe
[2007/04/12 11:44:00 | 000,425,984 | ---- | C] () -- C:\WINNT\System32\keystone.exe
[2007/04/12 11:44:00 | 000,286,720 | ---- | C] () -- C:\WINNT\System32\nvnt4cpl.dll
[2004/10/26 18:39:05 | 003,375,104 | ---- | C] () -- C:\WINNT\System32\qt-mt331.dll
[2003/06/20 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINNT\System32\mlang.dat
[2003/06/20 08:00:00 | 000,385,894 | ---- | C] () -- C:\WINNT\System32\perfh009.dat
[2003/06/20 08:00:00 | 000,383,366 | ---- | C] () -- C:\WINNT\System32\perfh007.dat
[2003/06/20 08:00:00 | 000,272,492 | ---- | C] () -- C:\WINNT\System32\perfi009.dat
[2003/06/20 08:00:00 | 000,252,934 | ---- | C] () -- C:\WINNT\System32\perfi007.dat
[2003/06/20 08:00:00 | 000,217,359 | ---- | C] () -- C:\WINNT\System32\dssec.dat
[2003/06/20 08:00:00 | 000,176,400 | ---- | C] () -- C:\WINNT\System32\qcut.dll
[2003/06/20 08:00:00 | 000,070,210 | ---- | C] () -- C:\WINNT\System32\perfc007.dat
[2003/06/20 08:00:00 | 000,057,488 | ---- | C] () -- C:\WINNT\System32\perfc009.dat
[2003/06/20 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINNT\System32\mib.bin
[2003/06/20 08:00:00 | 000,034,108 | ---- | C] () -- C:\WINNT\System32\perfd007.dat
[2003/06/20 08:00:00 | 000,034,064 | ---- | C] () -- C:\WINNT\System32\efsadu.dll
[2003/06/20 08:00:00 | 000,028,270 | ---- | C] () -- C:\WINNT\System32\perfd009.dat
[2003/06/20 08:00:00 | 000,014,413 | ---- | C] () -- C:\WINNT\System32\iasperf.ini
[2003/06/20 08:00:00 | 000,003,056 | ---- | C] () -- C:\WINNT\System32\faxperf.ini
[2003/06/20 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINNT\System32\noise.dat
[2003/06/20 08:00:00 | 000,000,023 | ---- | C] () -- C:\WINNT\welcome.ini
[2002/08/07 07:06:22 | 000,045,056 | ---- | C] () -- C:\WINNT\System32\dsrmp4.dll
[1999/09/25 06:36:24 | 000,088,816 | ---- | C] () -- C:\WINNT\System32\drivers\lvcam.sys
[1999/09/25 06:36:22 | 000,017,424 | ---- | C] () -- C:\WINNT\System32\drivers\lvsound.sys

========== LOP Check ==========

[2008/11/08 07:44:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\agi
[2011/04/30 06:30:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten\SACore
[2008/09/14 05:02:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Any Video Converter
[2009/11/26 11:39:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Azureus
[2012/01/08 09:31:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\facemoods.com
[2012/03/31 12:28:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema
[2011/07/05 15:59:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\GetRightToGo
[2012/01/25 11:01:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\OpenOffice.org
[2008/11/10 16:49:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Pioneer
[2011/12/24 10:30:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\QuickStoresToolbar
[2008/02/24 11:47:49 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\RapidSolution Software AG
[2009/10/11 11:07:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Research In Motion
[2008/11/23 10:52:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\Roni Music
[2011/07/21 17:19:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\SynthMaker
[2008/07/16 16:09:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\XnView
[2008/01/07 15:40:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
[2009/08/05 16:36:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2009/08/29 12:57:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
[2012/03/31 12:28:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema
[2008/01/26 17:19:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
[2010/05/09 04:57:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2009/08/05 16:38:47 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2010/12/31 20:00:15 | 000,000,336 | ---- | M] () -- C:\WINNT\Tasks\McQcTask.job

========== Purity Check ==========



========== Custom Scans ==========


< %SYSTEMDRIVE%\*. >
[2008/01/09 04:11:42 | 000,000,000 | -HSD | M] -- C:\#GDATA.Trash.Store#
[2009/08/29 13:11:44 | 000,000,000 | ---D | M] -- C:\Boot
[2008/10/12 10:15:03 | 000,000,000 | ---D | M] -- C:\divx
[2007/12/28 09:02:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011/09/01 16:18:44 | 000,000,000 | ---D | M] -- C:\Downloads
[2008/08/21 15:43:26 | 000,000,000 | ---D | M] -- C:\DrWatson
[2007/12/28 09:03:40 | 000,000,000 | ---D | M] -- C:\Intel
[2009/04/12 15:53:54 | 000,000,000 | ---D | M] -- C:\my music
[2009/10/10 17:30:36 | 000,000,000 | ---D | M] -- C:\PROGRAM FILES
[2012/02/03 18:06:46 | 000,000,000 | R--D | M] -- C:\Programme
[2008/01/06 07:22:06 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2012/04/01 17:16:49 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2008/04/13 16:13:36 | 000,000,000 | ---D | M] -- C:\th
[2012/03/31 12:45:21 | 000,000,000 | ---D | M] -- C:\WINNT

< %PROGRAMFILES%\*.exe >

Invalid Environment Variable: %LOCALAPPDATA%\*.exe

< %systemroot%\*. /mp /s >


< MD5 for: AGP440.SYS >
[2003/06/20 08:00:00 | 006,586,449 | ---- | M] () .cab file -- C:\WINNT\Driver Cache\i386\sp4.cab:AGP440.sys

< MD5 for: ATAPI.SYS >
[2003/06/20 08:00:00 | 006,586,449 | ---- | M] () .cab file -- C:\WINNT\Driver Cache\i386\sp4.cab:atapi.sys
[2003/06/19 07:05:04 | 000,086,672 | ---- | M] (Microsoft Corporation) MD5=8C718AA8C77041B3285D55A0CE980867 -- C:\WINNT\system32\dllcache\atapi.sys
[2003/06/19 07:05:04 | 000,086,672 | ---- | M] (Microsoft Corporation) MD5=8C718AA8C77041B3285D55A0CE980867 -- C:\WINNT\system32\drivers\atapi.sys

< MD5 for: EVENTLOG.DLL >
[2005/06/03 03:44:44 | 000,049,424 | ---- | M] (Microsoft Corporation) MD5=ABA7CF4DEA4975E37692DFA1DBCE1B79 -- C:\WINNT\system32\dllcache\EVENTLOG.DLL
[2005/06/03 03:44:44 | 000,049,424 | ---- | M] (Microsoft Corporation) MD5=ABA7CF4DEA4975E37692DFA1DBCE1B79 -- C:\WINNT\system32\EVENTLOG.DLL
[2003/06/20 08:00:00 | 000,047,888 | ---- | M] (Microsoft Corporation) MD5=F5DB4550941A365A49C400BC3C0090DE -- C:\WINNT\$NtUpdateRollupPackUninstall$\eventlog.dll

< MD5 for: EXPLORER.EXE >
[2003/06/20 08:00:00 | 000,245,008 | ---- | M] (Microsoft Corporation) MD5=9A067872F0A9DC15E93DBEFC9E1453A7 -- C:\WINNT\explorer.exe
[2003/06/20 08:00:00 | 000,245,008 | ---- | M] (Microsoft Corporation) MD5=9A067872F0A9DC15E93DBEFC9E1453A7 -- C:\WINNT\system32\dllcache\explorer.exe

< MD5 for: NETLOGON.DLL >
[2005/06/03 03:44:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\system32\dllcache\NETLOGON.DLL
[2005/06/03 03:44:44 | 000,366,864 | ---- | M] (Microsoft Corporation) MD5=0A9042FA3A787432124C700B53638786 -- C:\WINNT\system32\NETLOGON.DLL
[2003/06/20 08:00:00 | 000,371,984 | ---- | M] (Microsoft Corporation) MD5=AFFDAF795FF9B3A8AAA5A36E95FB11E6 -- C:\WINNT\$NtUpdateRollupPackUninstall$\netlogon.dll

< MD5 for: SCECLI.DLL >
[2003/06/20 08:00:00 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F596F47F60D63D79BD91E91919988481 -- C:\WINNT\$NtUpdateRollupPackUninstall$\scecli.dll
[2005/06/03 03:44:44 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F7B05B1A74D0F1C23D4D14C77F50A819 -- C:\WINNT\system32\dllcache\scecli.dll
[2005/06/03 03:44:44 | 000,119,056 | ---- | M] (Microsoft Corporation) MD5=F7B05B1A74D0F1C23D4D14C77F50A819 -- C:\WINNT\system32\scecli.dll

< MD5 for: USER32.DLL >
[2007/03/06 07:17:36 | 000,381,712 | ---- | M] (Microsoft Corporation) MD5=3AE4FAC4D8FC34F75D7CFFB20CF1EC55 -- C:\WINNT\system32\dllcache\USER32.DLL
[2007/03/06 07:17:36 | 000,381,712 | ---- | M] (Microsoft Corporation) MD5=3AE4FAC4D8FC34F75D7CFFB20CF1EC55 -- C:\WINNT\system32\USER32.DLL
[2005/06/03 03:44:38 | 000,420,112 | ---- | M] (Microsoft Corporation) MD5=B462F0A99E442DBA27B80130989DDCF9 -- C:\WINNT\$NtUninstallKB925902$\user32.dll
[2003/06/20 08:00:00 | 000,403,728 | ---- | M] (Microsoft Corporation) MD5=DC81AC1067AD32F39D3B673CA8345C46 -- C:\WINNT\$NtUpdateRollupPackUninstall$\user32.dll

< MD5 for: USERINIT.EXE >
[2003/06/20 08:00:00 | 000,017,680 | ---- | M] (Microsoft Corporation) MD5=11A1AA9DF8C44386F72018D06F2E0E71 -- C:\WINNT\system32\dllcache\userinit.exe
[2003/06/20 08:00:00 | 000,017,680 | ---- | M] (Microsoft Corporation) MD5=11A1AA9DF8C44386F72018D06F2E0E71 -- C:\WINNT\system32\userinit.exe

< MD5 for: WINLOGON.EXE >
[2003/06/20 08:00:00 | 000,184,592 | ---- | M] (Microsoft Corporation) MD5=3EF30E020F67292F5698C8EAFDBB27EC -- C:\WINNT\$NtUpdateRollupPackUninstall$\winlogon.exe
[2005/06/03 02:37:50 | 000,190,224 | ---- | M] (Microsoft Corporation) MD5=56E6FE4DED78FFD01679D467746A16F3 -- C:\WINNT\system32\dllcache\WINLOGON.EXE
[2005/06/03 02:37:50 | 000,190,224 | ---- | M] (Microsoft Corporation) MD5=56E6FE4DED78FFD01679D467746A16F3 -- C:\WINNT\system32\WINLOGON.EXE
[2012/01/13 09:53:20 | 000,182,856 | ---- | M] () MD5=63EEC8A8B221AB79045E776E5F592868 -- C:\Programme\Malwarebytes' Anti-Malware\Chameleon\winlogon.exe

< MD5 for: WS2IFSL.SYS >
[2003/06/20 08:00:00 | 000,012,016 | ---- | M] (Microsoft Corporation) MD5=C8A15978B9C09023A3E096CB9B6689C5 -- C:\WINNT\system32\dllcache\ws2ifsl.sys
[2003/06/20 08:00:00 | 000,012,016 | ---- | M] (Microsoft Corporation) MD5=C8A15978B9C09023A3E096CB9B6689C5 -- C:\WINNT\system32\drivers\ws2ifsl.sys

< %systemroot%\system32\drivers\*.sys /lockedfiles >

< %systemroot%\System32\config\*.sav >
[2007/12/28 09:48:02 | 000,081,920 | ---- | M] () -- C:\WINNT\System32\config\default.sav
[2007/12/28 09:48:02 | 000,540,672 | ---- | M] () -- C:\WINNT\System32\config\software.sav
[2007/12/28 09:48:02 | 000,393,216 | ---- | M] () -- C:\WINNT\System32\config\system.sav

< %systemroot%\system32\*.dll /lockedfiles >
[2005/06/03 03:44:54 | 000,222,480 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINNT\system32\mstask.dll
[2008/04/15 19:13:18 | 002,387,216 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINNT\system32\SHELL32.DLL
[1 C:\WINNT\system32\*.tmp files -> C:\WINNT\system32\*.tmp -> ]

Invalid Environment Variable: %USERPROFILE%\*.*

Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe

Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.dll

Invalid Environment Variable: %USERPROFILE%\Application Data\*.exe

========== Alternate Data Streams ==========

@Alternate Data Stream - 126 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:A66A990E
@Alternate Data Stream - 109 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:4B7BEAFF
< End of report >

Alt 01.04.2012, 15:53   #2
markusg
/// Malware-holic
 
GEMA-Trojaner - OTL.txt erstellt - Standard

GEMA-Trojaner - OTL.txt erstellt



hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:
Code:
ATTFilter
:OTL
O4 - HKU\Fürmann_ON_C..\Run: [gema] C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe (Veoj)
O4 - HKLM..\Run: [gema] C:\WINNT\system32\gema.exe (Veoj)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe
(Veoj)
O20 - HKLM Winlogon: UserInit - (C:\WINNT\system32\gema.exe) - C:\WINNT\system32\gema.exe (Veoj)
O20 - HKU\Fürmann_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe) - C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe
(Veoj)

:Files
C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         


dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.


falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!




Drücke bitte die + E Taste.
  • Öffne dein Systemlaufwerk ( meistens C: )
  • Suche nun
    folgenden Ordner: _OTL und öffne diesen.
  • Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner

  • Dies wird eine Movedfiles.zip Datei in _OTL erstellen
  • Lade diese bitte in unseren Uploadchannel
    hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )
Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus
__________________

__________________

Alt 01.04.2012, 16:16   #3
tfuermann
 
GEMA-Trojaner - OTL.txt erstellt - Standard

GEMA-Trojaner - OTL.txt erstellt



hier der Inhalt der otl.txt


========== OTL ==========
Registry value HKEY_USERS\Fürmann_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\gema deleted successfully.
C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\gema deleted successfully.
C:\WINNT\system32\gema.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\gema\gema.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\WINNT\system32\gema.exe deleted successfully.
File C:\WINNT\system32\gema.exe not found.
Registry value HKEY_USERS\Fürmann_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe deleted successfully.
File C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema\gema.exe not found.
========== FILES ==========
C:\Dokumente und Einstellungen\Fürmann\Anwendungsdaten\gema folder moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 2847693 bytes
->Flash cache emptied: 1728 bytes

User: Fürmann
->Temp folder emptied: 2091837077 bytes
->Temporary Internet Files folder emptied: 979622103 bytes
->Java cache emptied: 22102267 bytes
->FireFox cache emptied: 77439732 bytes
->Flash cache emptied: 631503 bytes

Total Flash Files Cleaned = 3,027.00 mb


[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Fürmann
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 293082378 bytes

Total Files Cleaned = 280.00 mb


OTLPE by OldTimer - Version 3.1.48.0 log created on 04012012_181226

Files\Folders moved on Reboot...
File\Folder C:\Dokumente und Einstellungen\Fürmann\Lokale Einstellungen\Temp\Rar$DI01.375\04 XO not found!
File\Folder C:\Dokumente und Einstellungen\Fürmann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WHEVOHEV\stillwatercove_1993[1]. not found!
File\Folder C:\Dokumente und Einstellungen\Fürmann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4LKF25ID\Hot Chip - Hold On not found!

Registry entries deleted on Reboot...

Der Upload der MovedFiles.zip hat geklappt.

Vielen Dank für die super schnelle Hilfe
__________________

Alt 01.04.2012, 19:57   #4
markusg
/// Malware-holic
 
GEMA-Trojaner - OTL.txt erstellt - Standard

GEMA-Trojaner - OTL.txt erstellt



danke für den upload
Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.
Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop
  • Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Zitat:
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.
__________________
-Verdächtige mails bitte an uns zur Analyse weiterleiten:
markusg.trojaner-board@web.de
Weiterleiten
Anleitung:
http://markusg.trojaner-board.de
Mails bitte vorerst nach obiger Anleitung an
markusg.trojaner-board@web.de
Weiterleiten
Wenn Ihr uns unterstützen möchtet

Antwort

Themen zu GEMA-Trojaner - OTL.txt erstellt
.dll, 0x00000001, alternate, asus, autorun, bho, desktop, einstellungen, error, explorer, firefox, format, locker, log, logfile, nvidia, object, pdf, phishing, plug-in, realtek, rundll, scan, security, siteadvisor, software, starten, windows, winlogon.exe




Ähnliche Themen: GEMA-Trojaner - OTL.txt erstellt


  1. WIN XP - BKA Trojaner - Extras und OTL erstellt - Wie geht es weiter?
    Log-Analyse und Auswertung - 06.10.2013 (13)
  2. GVU-Trojaner auf Win7 - frst.txt erstellt
    Log-Analyse und Auswertung - 17.07.2013 (9)
  3. GVU Trojaner, OTL Logfiles bereits erstellt
    Plagegeister aller Art und deren Bekämpfung - 12.06.2013 (1)
  4. GEMA-Trojaner 2.08, bereits OTLPE-Logfile erstellt
    Log-Analyse und Auswertung - 26.10.2012 (2)
  5. AKM Trojaner! OTL.txt erstellt
    Log-Analyse und Auswertung - 08.05.2012 (1)
  6. GEMA Trojaner - OTL.txt erstellt - brauche Hilfe!
    Log-Analyse und Auswertung - 02.04.2012 (7)
  7. GEMA Trojaner - OTLPE Logs erstellt - wie geht es weiter?
    Plagegeister aller Art und deren Bekämpfung - 28.03.2012 (11)
  8. GEMA Trojaner aus Link in E-Mail erworben;Bildschirm zeigt "PC ist gesperrt" an "lt.Gema"
    Plagegeister aller Art und deren Bekämpfung - 27.02.2012 (7)
  9. Trojaner/Virus erstellt tmp. Dateien.
    Plagegeister aller Art und deren Bekämpfung - 13.02.2012 (6)
  10. GEMA - Trojaner ...shell.text bereits erstellt
    Plagegeister aller Art und deren Bekämpfung - 10.01.2012 (91)
  11. Gema-Trojaner bzw. Gema Meldung mit blockiertem Rechner
    Log-Analyse und Auswertung - 09.01.2012 (13)
  12. 50Euro Virus - Win7 / 64 - OTL Logfile erstellt nach Anleitung erstellt
    Plagegeister aller Art und deren Bekämpfung - 06.01.2012 (2)
  13. Gema-Trojaner bzw. Gema Meldung mit blockiertem Rechner
    Plagegeister aller Art und deren Bekämpfung - 04.12.2011 (9)
  14. BKA Trojaner - OLT.txt erstellt, benötige FIX.txt
    Log-Analyse und Auswertung - 26.08.2011 (3)
  15. Trojaner erstellt sich neu!
    Mülltonne - 30.09.2008 (1)
  16. AV hat Trojaner entdeckt-Logfile erstellt
    Log-Analyse und Auswertung - 06.06.2007 (10)
  17. Trojaner erstellt setup.exe
    Plagegeister aller Art und deren Bekämpfung - 27.08.2006 (6)

Zum Thema GEMA-Trojaner - OTL.txt erstellt - Hallo, habe wohl auch den GEMA-Trojaner. Konnte im abgesicherten Modus nicht mehr starten ohne das weiße Fenster. Habe OTL laufen lassen. Hoffe mir kann jemand helfen. Vielen Dank im Voraus. - GEMA-Trojaner - OTL.txt erstellt...
Archiv
Du betrachtest: GEMA-Trojaner - OTL.txt erstellt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.