Hallo Boardmitglieder,

ich hatte gehofft, dies umgehen zu können, möchte aber einfach meine Win-Konfiguration und diverse Programme nicht neu aufsetzen müssen.

Ich würde mich freuen, wenn mir jemand helfen kann, damit ich den Rechner bald wieder für Normalgebrauch aber auch sensible Daten nutzen kann.

mein Problem ist wie vielseits beschrieben eine Blockade des Desktops (ausschließlich bei intaktem Internetzugang) durch ein nicht schließbares Popup mit Aufforderung 100 € zu überweisen.

Meine Daten:
Win XP SP3 auf 32bit; Avira free
angemeldet bin ich als Administrator im Normalmodus (nicht abgesicherter M.)

1. DEFOGGER durchgeführt

Code: Alles auswählenAufklappen

ATTFilter

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 11:13 on 04/04/2012 (Falle)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)


-=E.O.F=-
         

2. DDS lässt sich nicht starten (cmd Eingabeaufforderung ebenfalls)

3. GMER im Anhang

4. AVIRA LOG:

Code: Alles auswählenAufklappen

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 29. März 2012  20:18

Es wird nach 3589480 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : FALKO_TOWER

Versionsinformationen:
BUILD.DAT      : 10.2.0.707     36070 Bytes  25.01.2012 12:53:00
AVSCAN.EXE     : 10.3.0.7      484008 Bytes  07.07.2011 12:27:56
AVSCAN.DLL     : 10.0.5.0       57192 Bytes  07.07.2011 12:27:56
LUKE.DLL       : 10.3.0.5       45416 Bytes  07.07.2011 12:27:57
LUKERES.DLL    : 10.0.0.0       13672 Bytes  14.01.2010 10:59:47
AVSCPLR.DLL    : 10.3.0.7      119656 Bytes  07.07.2011 12:27:57
AVREG.DLL      : 10.3.0.9       88833 Bytes  17.07.2011 22:16:20
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 08:05:36
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 13:23:11
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 22:16:38
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 10:11:15
VBASE004.VDF   : 7.11.21.239     2048 Bytes  01.02.2012 10:11:15
VBASE005.VDF   : 7.11.21.240     2048 Bytes  01.02.2012 10:11:15
VBASE006.VDF   : 7.11.21.241     2048 Bytes  01.02.2012 10:11:16
VBASE007.VDF   : 7.11.21.242     2048 Bytes  01.02.2012 10:11:16
VBASE008.VDF   : 7.11.21.243     2048 Bytes  01.02.2012 10:11:16
VBASE009.VDF   : 7.11.21.244     2048 Bytes  01.02.2012 10:11:16
VBASE010.VDF   : 7.11.21.245     2048 Bytes  01.02.2012 10:11:16
VBASE011.VDF   : 7.11.21.246     2048 Bytes  01.02.2012 10:11:16
VBASE012.VDF   : 7.11.21.247     2048 Bytes  01.02.2012 10:11:16
VBASE013.VDF   : 7.11.22.33   1486848 Bytes  03.02.2012 10:11:17
VBASE014.VDF   : 7.11.22.56    687616 Bytes  03.02.2012 10:11:18
VBASE015.VDF   : 7.11.22.92    178176 Bytes  06.02.2012 10:11:18
VBASE016.VDF   : 7.11.22.154   144896 Bytes  08.02.2012 09:41:48
VBASE017.VDF   : 7.11.22.220   183296 Bytes  13.02.2012 11:18:39
VBASE018.VDF   : 7.11.23.34    202752 Bytes  15.02.2012 11:18:40
VBASE019.VDF   : 7.11.23.98    126464 Bytes  17.02.2012 11:18:40
VBASE020.VDF   : 7.11.23.150   148480 Bytes  20.02.2012 11:18:40
VBASE021.VDF   : 7.11.23.224   172544 Bytes  23.02.2012 16:11:27
VBASE022.VDF   : 7.11.24.52    219648 Bytes  28.02.2012 15:25:14
VBASE023.VDF   : 7.11.24.152   165888 Bytes  05.03.2012 09:16:51
VBASE024.VDF   : 7.11.24.204   177664 Bytes  07.03.2012 09:16:51
VBASE025.VDF   : 7.11.25.30    245248 Bytes  12.03.2012 09:16:51
VBASE026.VDF   : 7.11.25.121   252416 Bytes  15.03.2012 10:01:32
VBASE027.VDF   : 7.11.25.177   202752 Bytes  20.03.2012 10:01:32
VBASE028.VDF   : 7.11.25.233   169984 Bytes  23.03.2012 10:38:38
VBASE029.VDF   : 7.11.25.234     2048 Bytes  23.03.2012 10:38:38
VBASE030.VDF   : 7.11.25.235     2048 Bytes  23.03.2012 10:38:38
VBASE031.VDF   : 7.11.25.236     2048 Bytes  23.03.2012 10:38:38
Engineversion  : 8.2.10.28 
AEVDF.DLL      : 8.1.2.2       106868 Bytes  04.11.2011 18:26:10
AESCRIPT.DLL   : 8.1.4.13      442746 Bytes  23.03.2012 10:38:43
AESCN.DLL      : 8.1.8.2       131444 Bytes  31.01.2012 11:08:54
AESBX.DLL      : 8.2.5.5       606579 Bytes  14.03.2012 09:16:54
AERDL.DLL      : 8.1.9.15      639348 Bytes  14.09.2011 08:00:41
AEPACK.DLL     : 8.2.16.7      803190 Bytes  23.03.2012 10:38:43
AEOFFICE.DLL   : 8.1.2.25      201084 Bytes  30.12.2011 09:19:17
AEHEUR.DLL     : 8.1.4.8      4514165 Bytes  23.03.2012 10:38:42
AEHELP.DLL     : 8.1.19.0      254327 Bytes  22.01.2012 12:04:52
AEGEN.DLL      : 8.1.5.23      409973 Bytes  14.03.2012 09:16:52
AEEXP.DLL      : 8.1.0.25       74101 Bytes  22.03.2012 10:01:34
AEEMU.DLL      : 8.1.3.0       393589 Bytes  10.01.2011 13:22:42
AECORE.DLL     : 8.1.25.6      201078 Bytes  22.03.2012 10:01:33
AEBB.DLL       : 8.1.1.0        53618 Bytes  10.01.2011 13:22:41
AVWINLL.DLL    : 10.0.0.0       19304 Bytes  10.01.2011 13:22:56
AVPREF.DLL     : 10.0.3.2       44904 Bytes  07.07.2011 12:27:56
AVREP.DLL      : 10.0.0.10     174120 Bytes  17.05.2011 20:49:29
AVARKT.DLL     : 10.0.26.1     255336 Bytes  07.07.2011 12:27:56
AVEVTLOG.DLL   : 10.0.0.9      203112 Bytes  07.07.2011 12:27:56
SQLITE3.DLL    : 3.6.19.0      355688 Bytes  17.06.2010 13:27:02
AVSMTP.DLL     : 10.0.0.17      63848 Bytes  10.01.2011 13:22:56
NETNT.DLL      : 10.0.0.0       11624 Bytes  17.06.2010 13:27:01
RCIMAGE.DLL    : 10.0.0.35    2589544 Bytes  07.07.2011 12:27:55
RCTEXT.DLL     : 10.0.64.0      98664 Bytes  07.07.2011 12:27:55

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: avguard_async_scan
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\AVGUARD_01dbb22f\guard_slideup.avp
Protokollierung.......................: standard
Primäre Aktion........................: reparieren
Sekundäre Aktion......................: quarantäne
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: aus
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: aus
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 29. März 2012  20:18

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'logonui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FNPLicensingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHXOFBQA\alert[1].htm'
C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CHXOFBQA\alert[1].htm
  [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/FakeAlert.AP
  [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4d67068e.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 29. März 2012  20:18
Benötigte Zeit: 00:00 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      0 Verzeichnisse wurden überprüft
     23 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
     22 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
      1 Hinweise
         

Schonmal vielen Dank für die Hilfsbereitschaft!!
Der Falle

hi
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.


Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

• Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
• Lege eine leere CD in Deinen Brenner.
• ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
• Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
• Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD


Bebilderte Anleitung: OTLpe-Scan

• Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
• Mache einen Doppelklick auf das OTLPE Icon.
• Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
• Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
• Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
• Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
• OTLpe sollte nun starten.
• Drücke Run Scan, um den Scan zu starten.
• Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
• Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
• Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Hallo markusg!!

Vielen Dank für die schnelle Antwort!

Hier das Logfile von OTL:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 4/5/2012 5:48:56 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.00 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 82.00% Memory free
1.00 Gb Paging File | 1.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 55.88 Gb Total Space | 2.92 Gb Free Space | 5.22% Space Free | Partition Type: NTFS
Drive D: | 37.26 Gb Total Space | 26.99 Gb Free Space | 72.44% Space Free | Partition Type: NTFS
Drive E: | 1.99 Gb Total Space | 0.96 Gb Free Space | 48.23% Space Free | Partition Type: FAT
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (WPFFontCache_v0400)
SRV - File not found [On_Demand] --  -- (rpcapd) Remote Packet Capture Protocol v.0 (experimental)
SRV - File not found [Disabled] --  -- (HidServ)
SRV - [2012/03/19 14:14:58 | 000,867,080 | ---- | M] (Acresso Software Inc.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe -- (FLEXnet Licensing Service)
SRV - [2012/02/15 08:30:18 | 000,158,856 | R--- | M] (Skype Technologies) [Auto] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2011/07/07 08:27:56 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/05/02 17:18:49 | 000,068,096 | ---- | M] () [On_Demand] -- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service)
SRV - [2011/05/02 16:03:17 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2006/10/26 14:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006/10/26 09:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Adapter | On_Demand] --  -- (Oseicrsppdmo)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/07/07 08:27:57 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/07 08:27:57 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011/02/01 09:51:16 | 000,639,224 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)
DRV - [2010/06/17 09:27:02 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/06/17 09:26:52 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2009/10/20 14:19:44 | 000,050,704 | ---- | M] (CACE Technologies, Inc.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF)
DRV - [2004/07/05 17:38:06 | 000,233,472 | ---- | M] (ZyDAS Technology Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ZD1211U.sys -- (ZD1211U(X-Micro)) X-Micro WLAN 11g USB Adapter(X-Micro)
DRV - [2004/01/14 06:30:00 | 000,017,151 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\ZDPNDIS5.sys -- (ZDPNDIS5)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Falle.FALKO_TOWER_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://ecosia.org/?sc=de
IE - HKU\Falle.FALKO_TOWER_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.search.selectedEngine: "Forestle (de)"
FF - prefs.js..browser.search.useDBForOrder: true
FF - prefs.js..browser.startup.homepage: "hxxp://sonnenseite.com/"
FF - prefs.js..extensions.enabledItems: {23fcfd51-4958-4f00-80a3-ae97e717ed8b}:2.1.1.94
FF - prefs.js..extensions.enabledItems: {6904342A-8307-11DF-A508-4AE2DFD72085}:2.1.1.94
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX Browser Plugin,version=1.0.0: C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Programme\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{23fcfd51-4958-4f00-80a3-ae97e717ed8b}: C:\Programme\DivX\DivX Plus Web Player\firefox\html5video [2011/02/23 13:57:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{6904342A-8307-11DF-A508-4AE2DFD72085}: C:\Programme\DivX\DivX Plus Web Player\firefox\wpa [2011/02/23 13:57:11 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{8AA36F4F-6DC7-4c06-77AF-5035170634FE}: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Swiss Academic Software\Citavi Picker\Firefox
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/03/18 15:45:32 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/01/24 13:54:49 | 000,000,000 | ---D | M]
 
[2011/02/02 06:08:16 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\mozilla\Extensions
[2012/02/14 07:35:31 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\mozilla\Firefox\Profiles\budhxrn8.default\extensions
[2011/02/02 06:51:43 | 000,002,314 | ---- | M] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\Mozilla\Firefox\Profiles\budhxrn8.default\searchplugins\forestle-de.xml
[2011/11/14 17:55:08 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
File not found (No name found) -- 
() (No name found) -- C:\DOKUMENTE UND EINSTELLUNGEN\FALLE.FALKO_TOWER\ANWENDUNGSDATEN\MOZILLA\FIREFOX\PROFILES\BUDHXRN8.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI
[2012/03/18 15:45:32 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2011/05/03 22:52:23 | 000,476,904 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2012/02/04 07:06:25 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/02/04 07:06:25 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/02/04 07:06:25 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/02/04 07:06:25 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2012/02/04 07:06:25 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/02/04 07:06:25 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2008/04/14 08:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (DivX Plus Web Player HTML5 <video>) - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -  File not found
O2 - BHO: (DivX HiQ) - {593DDEC6-7468-4cdd-90E1-42DADAA222E9} - C:\Programme\DivX\DivX Plus Web Player\npdivx32.dll (DivX, LLC)
O2 - BHO: (Adobe PDF Conversion Toolbar Helper) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKLM\..\Toolbar: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O3 - HKU\Falle.FALKO_TOWER_ON_C\..\Toolbar\WebBrowser: (Adobe PDF) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [Acrobat Assistant 8.0] C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\Falle.FALKO_TOWER_ON_C..\Run: [] C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Lokale Einstellungen\Temp\cgs8h0.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\X-Micro WLAN 11g USB Utility.lnk = C:\Programme\Internet\X-WLAN\XMicroWlan.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (Adobe Systems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Falle.FALKO_TOWER_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService.NT-AUTORITÄT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService.NT-AUTORITÄT_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: An vorhandenes PDF anfügen - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: In Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll (Adobe Systems Incorporated)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2011/02/01 08:31:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{9f801d78-2970-11e1-ae54-0011250c44c1}\Shell - "" = AutoRun
O33 - MountPoints2\{9f801d78-2970-11e1-ae54-0011250c44c1}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{9f801d78-2970-11e1-ae54-0011250c44c1}\Shell\AutoRun\command - "" = E:\reatogoMenu.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {04A2DE54-331A-4B02-D200-978B1359BBE4} - Microsoft Windows Media Player
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.8
ActiveX: {5056b317-8d4c-43ee-8543-b9d1e234b8f4} - Sicherheitsupdate für Windows XP (KB923789)
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6B21F061-A990-93BF-3983-338BE5C7CADD} - Microsoft Windows Media Player 6.4
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {73fa19d0-2d75-11d2-995d-00c04f98bbc9} - Web Folders
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {871DCA50-28E5-D521-4AB3-F172D4704083} - Internet Explorer
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {CE077DEB-DEC8-CEB8-F4FA-6732B37CDFFC} - Microsoft Windows Media Player 6.4
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {F89CC4BF-0AC3-99CC-B5DD-D9EB1FAE7E72} - Microsoft Windows Media Player 6.4
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: HidServ -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe - ()
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe - ()
MsConfig - StartUpReg: Acrobat Assistant 8.0 - hkey= - key= - C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe (Adobe Systems Inc.)
MsConfig - StartUpReg: DAEMON Tools - hkey= - key= - C:\Programme\DAEMON Tools\daemon.exe (DT Soft Ltd.)
MsConfig - StartUpReg: DivXUpdate - hkey= - key= - C:\Programme\DivX\DivX Update\DivXUpdate.exe ()
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/04/04 11:37:14 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Startmenü\Programme\Verwaltung
[2012/04/03 18:32:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Desktop\TrojanerFix
[2012/03/20 19:36:45 | 000,000,000 | ---D | C] -- C:\Programme\MSXML 4.0
[2012/03/20 04:28:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\Safe Software
[2012/03/20 04:18:10 | 000,000,000 | ---D | C] -- C:\Programme\ET SpatialTechniques
[2012/03/19 14:33:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\ESRI
[2012/03/19 14:33:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Eigene Dateien\ArcGIS
[2012/03/19 14:33:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Lokale Einstellungen\Anwendungsdaten\ESRI
[2012/03/19 14:33:44 | 000,000,000 | ---D | C] -- C:\Programme\ESRI
[2012/03/19 14:07:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\ArcGIS
[2012/03/19 14:05:44 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\AnswerWorks 4.0
[2012/03/19 14:01:46 | 000,000,000 | ---D | C] -- C:\Python26
[2012/03/19 14:01:39 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Data Dynamics
[2012/03/19 14:01:18 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Tom Sawyer Software
[2012/03/19 14:01:18 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\ArcGIS
[2012/03/19 13:46:13 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft SQL Server
[2012/03/19 13:39:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Desktop\Verwaltungsgrenzen
[2012/03/19 13:30:53 | 000,000,000 | ---D | C] -- C:\arcgis
[2012/03/07 08:20:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Windows Genuine Advantage
[2012/03/07 07:49:23 | 000,018,808 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\spmsg.dll
[2012/03/07 07:49:04 | 000,000,000 | ---D | C] -- C:\Programme\Windows Media Connect 2
[2012/03/07 07:47:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\drivers\UMDF
[2012/03/07 07:47:30 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\LogFiles
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/04/05 10:21:03 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/04/04 12:33:44 | 003,730,196 | ---- | M] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Desktop\Unbenannt Kopie.pdf
[2012/04/04 12:23:35 | 006,042,898 | ---- | M] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Desktop\Unbenannt.psd
[2012/04/04 11:49:07 | 000,910,368 | ---- | M] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Desktop\Unbenannt.PNG
[2012/04/04 11:44:48 | 000,002,301 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Adobe Acrobat 8 Professional.lnk
[2012/04/04 10:53:33 | 000,002,321 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
[2012/04/04 10:53:19 | 000,182,441 | ---- | M] () -- C:\WINDOWS\System32\nvapps.xml
[2012/04/04 10:53:04 | 000,013,646 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/04/04 10:52:50 | 1601,228,800 | -HS- | M] () -- C:\hiberfil.sys
[2012/04/04 05:13:47 | 000,000,020 | ---- | M] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\defogger_reenable
[2012/03/25 14:19:58 | 000,451,906 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/03/25 14:19:58 | 000,435,260 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/03/25 14:19:58 | 000,081,102 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/03/25 14:19:58 | 000,068,156 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/03/20 09:45:14 | 000,172,768 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2012/03/20 03:58:09 | 000,284,520 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012/03/19 14:07:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\ArcGIS
[2012/03/17 23:36:07 | 000,002,571 | ---- | M] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\ACDSee Pro 3.lnk
[2012/03/14 05:04:32 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012/03/08 12:52:24 | 000,097,281 | ---- | M] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Desktop\ELASA Rechnungsanfrage Pizza.pdf
[2012/03/08 12:42:51 | 000,097,941 | ---- | M] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Desktop\ELASA Rechnungsanfrage Sharq.pdf
[2012/03/08 05:37:53 | 000,024,576 | ---- | M] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012/03/07 08:32:45 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx
[2012/03/07 08:32:35 | 000,023,392 | ---- | M] () -- C:\WINDOWS\System32\nscompat.tlb
[2012/03/07 08:32:35 | 000,016,832 | ---- | M] () -- C:\WINDOWS\System32\amcompat.tlb
[2012/03/07 08:27:44 | 000,000,792 | ---- | M] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Windows Media Player.lnk
[2012/03/07 07:47:37 | 000,000,000 | -H-- | M] () -- C:\WINDOWS\System32\drivers\UMDF\MsftWdf_user_01_00_00.Wdf
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/04/04 12:23:51 | 003,730,196 | ---- | C] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Desktop\Unbenannt Kopie.pdf
[2012/04/04 12:19:02 | 006,042,898 | ---- | C] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Desktop\Unbenannt.psd
[2012/04/04 11:47:48 | 000,910,368 | ---- | C] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Desktop\Unbenannt.PNG
[2012/04/04 05:13:38 | 000,000,020 | ---- | C] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\defogger_reenable
[2012/03/20 09:45:14 | 000,172,768 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2012/03/08 12:52:24 | 000,097,281 | ---- | C] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Desktop\ELASA Rechnungsanfrage Pizza.pdf
[2012/03/08 12:42:51 | 000,097,941 | ---- | C] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Desktop\ELASA Rechnungsanfrage Sharq.pdf
[2012/03/07 08:27:52 | 000,023,392 | ---- | C] () -- C:\WINDOWS\System32\nscompat.tlb
[2012/03/07 08:27:52 | 000,016,832 | ---- | C] () -- C:\WINDOWS\System32\amcompat.tlb
[2012/03/07 08:19:18 | 000,000,776 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Startmenü\Programme\Windows Media Player.lnk
[2012/03/07 07:47:37 | 000,000,000 | -H-- | C] () -- C:\WINDOWS\System32\drivers\UMDF\MsftWdf_user_01_00_00.Wdf
[2012/02/15 10:00:08 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/09/03 15:51:47 | 000,684,916 | ---- | C] () -- C:\WINDOWS\unins000.exe
[2011/09/03 15:51:47 | 000,012,818 | ---- | C] () -- C:\WINDOWS\unins000.dat
[2011/03/13 17:11:28 | 000,038,495 | ---- | C] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\Kommagetrennte Werte (Windows).ADR
[2011/03/02 12:06:13 | 000,000,980 | ---- | C] () -- C:\WINDOWS\eReg.dat
[2011/02/06 09:41:36 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
[2011/02/02 06:08:09 | 000,000,000 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2011/02/02 05:58:26 | 000,024,576 | ---- | C] () -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2011/02/01 09:47:46 | 000,000,008 | ---- | C] () -- C:\WINDOWS\System32\nvModes.dat
[2011/02/01 09:30:00 | 000,028,672 | ---- | C] () -- C:\WINDOWS\System32\InsDrvZD.dll
[2011/02/01 09:30:00 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\ZyDelReg.exe
[2011/02/01 08:34:06 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2011/02/01 08:28:16 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2011/02/01 08:20:57 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2011/02/01 08:19:36 | 000,284,520 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2009/10/20 14:19:30 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2008/05/03 00:46:00 | 001,703,936 | ---- | C] () -- C:\WINDOWS\System32\nvwdmcpl.dll
[2008/05/03 00:46:00 | 001,630,208 | ---- | C] () -- C:\WINDOWS\System32\nwiz.exe
[2008/05/03 00:46:00 | 001,486,848 | ---- | C] () -- C:\WINDOWS\System32\nview.dll
[2008/05/03 00:46:00 | 001,339,392 | ---- | C] () -- C:\WINDOWS\System32\nvdspsch.exe
[2008/05/03 00:46:00 | 001,019,904 | ---- | C] () -- C:\WINDOWS\System32\nvwimg.dll
[2008/05/03 00:46:00 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\nvshell.dll
[2008/05/03 00:46:00 | 000,442,368 | ---- | C] () -- C:\WINDOWS\System32\nvappbar.exe
[2008/05/03 00:46:00 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\keystone.exe
[2008/05/03 00:46:00 | 000,286,720 | ---- | C] () -- C:\WINDOWS\System32\nvnt4cpl.dll
[2008/04/14 08:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/04/14 08:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/04/14 08:00:00 | 000,451,906 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/04/14 08:00:00 | 000,435,260 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/04/14 08:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/04/14 08:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/04/14 08:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/04/14 08:00:00 | 000,081,102 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/04/14 08:00:00 | 000,068,156 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/04/14 08:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/04/14 08:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/04/14 08:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/04/14 08:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/04/14 08:00:00 | 000,004,461 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/04/14 08:00:00 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/14 08:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2003/08/06 10:23:08 | 000,131,072 | ---- | C] () -- C:\WINDOWS\System32\e1000msg.dll
 
========== LOP Check ==========
 
[2011/03/05 13:55:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\ACD Systems
[2011/02/23 13:59:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\DDMSettings
[2011/02/23 11:24:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\Downloaded Installations
[2011/10/17 12:34:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\elsterformular
[2012/03/20 04:28:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\ESRI
[2011/02/23 11:29:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\Nitro PDF
[2011/09/29 10:08:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\OpenOffice.org
[2012/03/20 04:35:57 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\Safe Software
[2011/07/19 06:17:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\Simfy
[2011/09/17 06:23:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\Swiss Academic Software
[2011/07/10 16:49:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ACD Systems
[2011/10/17 12:14:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\elsterformular
[2011/11/05 14:21:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Gibraltar
[2011/02/23 11:25:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Nitro PDF
[2011/09/15 04:26:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Swiss Academic Software
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2012/03/19 13:30:53 | 000,000,000 | ---D | M] -- C:\arcgis
[2011/09/15 04:02:17 | 000,000,000 | ---D | M] -- C:\b4fd1d2d55426561fdaa11fe8c
[2011/01/31 12:42:17 | 000,000,000 | ---D | M] -- C:\Bilder
[2011/02/02 14:51:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2011/07/10 06:56:42 | 000,000,000 | ---D | M] -- C:\eigene Dokumente
[2011/01/31 14:02:34 | 000,000,000 | R--D | M] -- C:\EXEn
[2011/02/01 08:53:29 | 000,000,000 | ---D | M] -- C:\IBMTOOLS
[2011/02/01 09:56:26 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2011/12/18 08:55:37 | 000,000,000 | R--D | M] -- C:\Mucke
[2011/01/31 12:46:46 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2012/03/20 19:36:45 | 000,000,000 | R--D | M] -- C:\Programme
[2012/03/19 14:01:46 | 000,000,000 | ---D | M] -- C:\Python26
[2011/02/01 09:38:34 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2011/09/26 10:27:03 | 000,000,000 | ---D | M] -- C:\sicherung
[2011/11/30 16:17:34 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011/09/25 14:50:18 | 000,000,000 | ---D | M] -- C:\Videa an studitum14 (Studitum14)
[2012/03/20 19:36:49 | 000,000,000 | ---D | M] -- C:\WINDOWS
[2012/01/23 11:44:14 | 000,000,000 | ---D | M] -- C:\ZCVideotoCellPhone
[2011/09/16 09:42:48 | 000,000,000 | ---D | M] -- C:\[Daten]
 
< %PROGRAMFILES%\*.exe >
 
Invalid Environment Variable: %LOCALAPPDATA%\*.exe
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: AGP440.SYS  >
[2008/04/14 08:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
 
< MD5 for: ATAPI.SYS  >
[2008/04/14 08:00:00 | 020,108,202 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2008/04/14 08:00:00 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008/04/14 08:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\dllcache\eventlog.dll
[2008/04/14 08:00:00 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
 
< MD5 for: EXPLORER.EXE  >
[2008/04/14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\explorer.exe
[2008/04/14 08:00:00 | 001,036,800 | ---- | M] (Microsoft Corporation) MD5=418045A93CD87A352098AB7DABE1B53E -- C:\WINDOWS\system32\dllcache\explorer.exe
 
< MD5 for: NETLOGON.DLL  >
[2008/04/14 08:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\dllcache\netlogon.dll
[2008/04/14 08:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008/04/14 08:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\dllcache\scecli.dll
[2008/04/14 08:00:00 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2008/04/14 08:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\dllcache\user32.dll
[2008/04/14 08:00:00 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008/04/14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2008/04/14 08:00:00 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008/04/14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2008/04/14 08:00:00 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2008/04/14 08:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2008/04/14 08:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2011/02/01 09:18:43 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2011/02/01 09:18:43 | 001,089,536 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2011/02/01 09:18:43 | 000,446,464 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\system32\*.dll /lockedfiles >
[2011/03/03 02:54:43 | 000,149,504 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\dnsapi.dll
[2011/12/18 09:43:24 | 011,082,240 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\ieframe.dll
[2011/12/17 15:43:23 | 002,000,384 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\iertutil.dll
[2008/04/14 08:00:00 | 000,280,064 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\mstask.dll
[2008/04/14 08:00:00 | 000,067,072 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\ntdsapi.dll
[2011/01/21 10:44:10 | 008,503,296 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\shell32.dll
[5 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
Invalid Environment Variable: %USERPROFILE%\*.*
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.dll
 
Invalid Environment Variable: %USERPROFILE%\Application Data\*.exe
< End of report >
         

--- --- ---

Zitat:

Kopiere diesen Ordner auf deinen USB-Stick

Mehr wurde nicht ausgegeben. Leider verstehe ich nicht, welcher Ordner gemeint ist...

hi
auf deinem zweiten pc gehe auf start, programme zubehör editor, kopiere dort
rein:

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O4 - HKU\Falle.FALKO_TOWER_ON_C..\Run: [] C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Lokale Einstellungen\Temp\cgs8h0.exe ()
:Files
C:\Dokumente und Einstellungen\Falle.FALKO_TOWER\Lokale Einstellungen\Temp\cgs8h0.exe
:Commands
[purity]
[EMPTYFLASH] 
[emptytemp]
[Reboot]
         

dieses speicherst du auf nem usb stick als fix.txt
nutze nun wieder OTLPENet.exe (starte also von der erstellten cd) und hake alles an, wie es bereits im post zu OTLPENet.exe beschrieben ist.
• Klicke nun bitte auf den Fix Button.
es sollte nun eine meldung ähnlich dieser: "load fix from file" erscheinen, lade also die fix.txt von deinem stick.
wenn dies nicht funktioniert, bitte den fix manuell eintragen.
dann klicke erneut den fix buton. pc startet evtl. neu. wenn ja, nimm die cd aus dem laufwerk, windows sollte nun normal starten und die otl.txt öffnen,
log posten bitte.



falls du keine symbole hast, dann rechtsklick, ansicht, desktop symbole einblenden

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang
in den Thread posten!



Drücke bitte die + E Taste.

• Öffne dein Systemlaufwerk ( meistens C: )
• Suche nun
  folgenden Ordner: _OTL und öffne diesen.
• Mache einen Rechtsklick auf den Ordner Movedfiles --> Senden an --> Zip-Komprimierter Ordner
• 
  Dies wird eine Movedfiles.zip Datei in _OTL erstellen
• Lade diese bitte in unseren Uploadchannel
  hoch. ( Durchsuchen --> C:\_OTL\Movedfiles.zip )

Teile mir mit ob der Upload problemlos geklappt hat. Danke im voraus

Hallo,

endlich habe ich mal wieder Zeit mich dem Problem zu widmen...

Ich habe soebend den Fix durchgeführt und danach WinXP normal gestartet.
die OTL.txt auf C: ist aber genau die gleiche wie vom 5.4. (oben gepostet)
CMD lässt sich nun wieder starten, soll ich DDS nun versuchen zu starten oder so?

die moved files habe ich nun im upload channel hochgeladen.
was soll ich als nächstes tun? Ist schon eine Diagnose möglich?

Dankeschön

hi

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich
ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Mahlzeit!

ich fand es seltsam, dass beim Start von Combofix eine Meldung kam, es wäre abgelaufen und daher nur ein eingeschränkter Modus verfügbar...

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 12-04-03.02 - Falle 12.04.2012  15:31:09.1.2 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1527.1172 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Falle.FALKO_TOWER\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Outdated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
- REDUZIERTER FUNKTIONALITÄTSMODUS -
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\Falle.FALKO_TOWER\Lokale Einstellungen\Anwendungsdaten\assembly\tmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2012-03-12 bis 2012-04-12  ))))))))))))))))))))))))))))))
.
.
2012-04-12 02:02 . 2011-07-13 02:55	2237440	----a-r-	C:\OTLPE.exe
2012-04-12 02:02 . 2012-04-11 20:24	--------	d-----w-	C:\_OTL
2012-03-20 23:36 . 2012-03-20 23:36	--------	d-----w-	c:\programme\MSXML 4.0
2012-03-20 08:28 . 2012-03-20 08:35	--------	d-----w-	c:\dokumente und einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\Safe Software
2012-03-20 08:18 . 2012-03-20 08:18	--------	d-----w-	c:\programme\ET SpatialTechniques
2012-03-19 18:33 . 2012-03-20 08:28	--------	d-----w-	c:\dokumente und einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\ESRI
2012-03-19 18:33 . 2012-03-19 18:33	--------	d-----w-	c:\dokumente und einstellungen\Falle.FALKO_TOWER\Lokale Einstellungen\Anwendungsdaten\ESRI
2012-03-19 18:33 . 2012-03-20 08:21	--------	d-----w-	c:\programme\ESRI
2012-03-19 18:05 . 2012-03-19 18:18	--------	d-----w-	c:\programme\Gemeinsame Dateien\AnswerWorks 4.0
2012-03-19 18:01 . 2012-03-19 18:01	--------	d-----w-	C:\Python26
2012-03-19 18:01 . 2012-03-19 18:01	--------	d-----w-	c:\programme\Gemeinsame Dateien\Data Dynamics
2012-03-19 18:01 . 2012-03-19 18:04	--------	d-----w-	c:\programme\Gemeinsame Dateien\ArcGIS
2012-03-19 18:01 . 2012-03-19 18:01	--------	d-----w-	c:\programme\Gemeinsame Dateien\Tom Sawyer Software
2012-03-19 17:46 . 2012-03-19 17:46	--------	d-----w-	c:\programme\Microsoft SQL Server
2012-03-19 17:30 . 2012-03-19 17:30	--------	d-----w-	C:\arcgis
2012-03-18 19:45 . 2012-03-18 19:45	592824	----a-w-	c:\programme\Mozilla Firefox\gkmedias.dll
2012-03-18 19:45 . 2012-03-18 19:45	44472	----a-w-	c:\programme\Mozilla Firefox\mozglue.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-03 09:57 . 2008-04-14 12:00	1860224	----a-w-	c:\windows\system32\win32k.sys
2012-03-18 19:45 . 2011-06-14 08:48	97208	----a-w-	c:\programme\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"nwiz"="nwiz.exe" [2008-05-03 1630208]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2011-04-08 254696]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 620152]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2011-2-1 295606]
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2011-5-2 113664]
Adobe Reader Synchronizer.lnk - c:\programme\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 734872]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Acrobat - Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Acrobat - Schnellstart.lnk
backup=c:\windows\pss\Adobe Acrobat - Schnellstart.lnkCommon Startup
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]
2006-10-22 22:24	620152	----a-w-	c:\programme\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
2006-11-12 10:48	157592	----a-w-	c:\programme\DAEMON Tools\daemon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DivXUpdate]
2011-01-10 23:25	1230704	----a-w-	c:\programme\DivX\DivX Update\DivXUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
.
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.02.2011 21:29 136360]
R2 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [20.10.2009 20:19 50704]
S2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [15.02.2012 14:30 158856]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe --> c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [?]
S3 ZD1211U(X-Micro);X-Micro WLAN 11g USB Adapter(X-Micro);c:\windows\system32\drivers\ZD1211U.sys [01.02.2011 15:30 233472]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [01.02.2011 15:51 639224]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://ecosia.org/?sc=de
IE: An vorhandenes PDF anfügen - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: Interfaces\{10C41CFD-4C9C-4924-8B77-4EB352755433}: NameServer = 139.18.25.3
FF - ProfilePath - c:\dokumente und einstellungen\Falle.FALKO_TOWER\Anwendungsdaten\Mozilla\Firefox\Profiles\budhxrn8.default\
FF - prefs.js: browser.search.selectedEngine - Forestle (de)
FF - prefs.js: browser.startup.homepage - hxxp://sonnenseite.com/
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2012-04-12 15:32
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(3620)
c:\windows\system32\webcheck.dll
.
Zeit der Fertigstellung: 2012-04-12  15:35:44
ComboFix-quarantined-files.txt  2012-04-12 13:35
.
Vor Suchlauf: 3.959.586.816 Bytes frei
Nach Suchlauf: 4.030.365.696 Bytes frei
.
- - End Of File - - 2EBF8E6D74CD2D7BC7E236902EFD8AAE
         

--- --- ---

Der Hinweis mit dem Registrierungsschlüssel kam nicht.

download tdss killer:
http://www.trojaner-board.de/82358-t...entfernen.html
Klicke auf Change parameters
• Setze die Haken bei Verify driver digital signatures und Detect TDLFS file system
• Klick auf OK und anschließend auf Start scan
- bei funden erst mal immer skip wählen, log posten

Hier der Log vom Killer...

hattest du combofix im normalen modus mit internet ausgeführt? gehen sollte das auf jeden fall.

nein, ich wusste nicht, dass ich die Internetverbindung schon wieder nutzen kann.
Ich werde es dann nochmal probieren, sobald ich wieder zu hause bin. Das wird Anfang Mai sein. Bis dahin!
Der Falle

schreib mir mal ne private nachicht, falls ich es übersehe,

Hallo Markus!
Endlich habe ich den Nerv (und auch den Anlass) mich wieder um meinen Tower zu kümmern.
ich habe nun noch einmal Combofix und den TDSSKiller durchlaufen lassen.
Die LOGs sind im Anhang.

Ich würde mich freuen, wenn du dir das nochmal kurz anschauen kannst.
Viele Grüße
der falle

hi

malwarebytes:
Downloade Dir bitte Malwarebytes

• Installiere
  das Programm in den vorgegebenen Pfad.
  Vista und Win7 User mit Rechtsklick "als Administrator starten"
• Starte Malwarebytes, klicke auf Aktualisierung --> Suche
  nach Aktualisierung
• Wenn das Update beendet wurde, aktiviere vollständiger Scan durchführen und drücke auf Scannen.
• Wenn der Scan beendet
  ist, klicke auf Ergebnisse anzeigen.
• Versichere Dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste
  das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter "Log Dateien" finden.

Guten Abend,
Malwarebytes hat 4 Funde gebracht.
Im Anhang das Logfile...
Schönes Wochenende!
der falle