weißer bildschirm warte verbindung hergestellt

ibiza-6k · 15.04.2012, 21:21

Hallo zusammen,ich brauche mal Fachliche Hilfe....
Der Rechner von meinem Dad zeigt nach dem Hochfahren einen weißen Bildschirm wo dann steht "Bitte warten sie bis die Verbindung hergestellt wird"
Ich habe mich hier in den ganzen Themen schon eigelesen und habe einen OTL Scann durchgeführt was auch geklappt hat.

Aber wenn ich das richtig verstanden habe, benötige ich jetzt ein "individuelles Antibiotikum" welches sich durch die OTL-Scan Datei ergibt?

OTL
O4 - HKUAdministrator_ON_C..Run [4rJHeEXlxs54kFa] CDokumente und EinstellungenAdministratorAnwendungsdatengw45u45111.exe (lpsjJ)
O4 - HKLM..Run [4rJHeEXlxs54kFa] CDokumente und EinstellungenAdministratorAnwendungsdatengw45u45111.exe (lpsjJ)
O7 - HKUAdministrator_ON_CSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer NoDesktop = 1
O7 - HKUAdministrator_ON_CSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun Policies = CWINDOWSinstallwlcomn.exe (Mozilla Corporation)
O7 - HKUAdministrator_ON_CSOFTWAREMicrosoftWindowsCurrentVersionpoliciesSystem DisableTaskMgr = 1
O7 - HKUAdministrator_ON_CSOFTWAREMicrosoftWindowsCurrentVersionpoliciesSystem DisableRegistryTools = 1
O20 - HKLM Winlogon Shell - (CDokumente und EinstellungenAdministratorAnwendungsdatengw45u45111.exe) - CDokumente und EinstellungenAdministratorAnwendungsdatengw45u45111.exe
(lpsjJ)
O20 - HKLM Winlogon UserInit - (CDokumente und EinstellungenAdministratorAnwendungsdatengw45u45111.exe) - CDokumente und EinstellungenAdministratorAnwendungsdatengw45u45111.exe
(lpsjJ)
O20 - HKUAdministrator_ON_C Winlogon Shell - (CDokumente und EinstellungenAdministratorAnwendungsdatengw45u45111.exe) - CDokumente und EinstellungenAdministratorAnwendungsdatengw45u45111.exe
(lpsjJ)
O20 - HKUAdministrator_ON_C Winlogon UserInit - (CDokumente und EinstellungenAdministratorAnwendungsdatengw45u45111.exe) - CDokumente und EinstellungenAdministratorAnwendungsdatengw45u45111.exe
(lpsjJ)
Files
CDokumente und EinstellungenAdministratorAnwendungsdatengw45u45111.exe
CWINDOWSinstall
Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

Das Betriebssystem ist Windows XP

Vielendank schonmal.

Lg
Konrad

Psychotic · 16.04.2012, 08:18

Mein Name ist Marius und ich werde dir bei deinem Problem helfen.

Eines vorneweg:

Hinweis: Wir können hier nie dafür garantieren, dass wir sämtliche Reste von Schadsoftware gefunden haben. Eine Formatierung ist meist der schnellere und immer der sicherste Weg.

Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass du clean bist.

Eine Bereinigung ist mitunter mit viel Arbeit für dich verbunden.

Bitte arbeite alle Schritte der Reihe nach ab.
Lese die Anleitungen sorgfältig. Solltest du irgendwo nicht weiterkommen, stoppe an diesem Punkt und beschreibe dein Problem hier!
Nur Scans durchführen, zu denen du von einem Helfer aufgefordert wirst.
Bitte kein Crossposting ( posten in mehreren Foren) - wenn du die anweisungen mehrere Helfer ausführst, kann das schwere Probleme nach sich ziehen!.
Installiere oder Deinstalliere während der Bereinigung keine Software (ausser, du wurdest dazu aufgefordert).
Wenn etwas unklar ist: Frage, bevor du etwas "blind" machst!
Poste die Logfiles direkt in deinen Thread. Nicht anhängen, außer, ich fordere dich dazu auf. Erschwert mir nämlich das Auswerten.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Die in anderen Themen erstellten Scripte sind ausschließlich für den jeweiligen User bestimmt. Werden sie auf einem anderen System ausgeführtm können sie dieses nachhaltig schädigen!

Hast du die OTLPE-CD erstellt? Oder wie hast du OTL ausgeführt?

ibiza-6k · 16.04.2012, 10:10

Hi,
wow das ging ja schnell!
Ich habe mir REATOGO-X-PE runtergeladen und hierrüber des PC hochfahren können.
Dann habe ich den OTLPE-Scan ausgeführt.
Die Anleitung wonach ich vorgegangen bin habe ich hier auch noch reinkopiert.

Konrad

hi
und, hast du dich schon mal umgesehen wie viel hier los ist, und überlegt das es vllt daranliegt, dss man vllt mal n halben tag warten muss, ist denn das zu viel verlangt, für hilfe, für die man nicht zahlt?
wenn dem so ist, suche dir ein computer fach geschäft, dort wird man dir gern gegen bezahlung behilflich sein.
falls nicht:
Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.

Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Bebilderte Anleitung: OTLpe-Scan

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.txt und Extras.txt.

Psychotic · 16.04.2012, 10:19

Na, dann poste bitte beide logfiles hier!

ibiza-6k · 16.04.2012, 10:28

Ist das diese hier?
Für mich sieht das alles gleich aus....... -.-OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 4/13/2012 4:56:49 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 2 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.2180)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1.00 Gb Total Physical Memory | 1.00 Gb Available Physical Memory | 83.00% Memory free
1.00 Gb Paging File | 1.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 122.07 Gb Total Space | 10.66 Gb Free Space | 8.74% Space Free | Partition Type: NTFS
Drive D: | 110.81 Gb Total Space | 18.42 Gb Free Space | 16.63% Space Free | Partition Type: NTFS
Drive F: | 963.73 Mb Total Space | 837.42 Mb Free Space | 86.89% Space Free | Partition Type: FAT
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet002
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [On_Demand] --  -- (rpcapd) Remote Packet Capture Protocol v.0 (experimental)
SRV - File not found [On_Demand] --  -- (ACDaemon)
SRV - [2011/07/06 11:25:24 | 000,269,480 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2011/05/21 10:29:39 | 000,136,360 | ---- | M] (Avira GmbH) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2007/01/31 08:55:42 | 000,096,370 | ---- | M] (Canon Inc.) [Auto] -- C:\Programme\Canon\CAL\CALMAIN.exe -- (CCALib8)
SRV - [2006/11/02 15:40:12 | 000,174,656 | ---- | M] () [Auto] -- C:\WINDOWS\system32\PSIService.exe -- (ProtexisLicensing)
SRV - [2006/10/23 08:50:35 | 000,046,640 | R--- | M] (AOL LLC) [Auto] -- C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe -- (AOL ACS)
SRV - [2005/01/31 03:45:20 | 000,049,152 | ---- | M] (Ulead Systems, Inc.) [Auto] -- C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe -- (UleadBurningHelper)
SRV - [2004/11/09 15:18:42 | 000,118,272 | ---- | M] (TuneUp Software GmbH) [On_Demand] -- C:\Programme\TuneUpUtilities2004\WinStylerThemeSvc.exe -- (TUWinStylerThemeSvc)
SRV - [2003/07/28 07:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand] --  -- (NTIDrvr)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (i2omgmt)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2011/07/06 11:25:24 | 000,138,192 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2011/07/06 11:25:24 | 000,066,616 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2009/12/14 13:41:51 | 000,008,552 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\asctrm.sys -- (ASCTRM)
DRV - [2009/07/13 10:46:38 | 000,037,280 | ---- | M] (Realtek) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTL2832U_IRHID.sys -- (RTL2832U_IRHID)
DRV - [2009/07/06 12:37:00 | 000,032,800 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTL2832UUSB.sys -- (RTL2832UUSB)
DRV - [2009/07/06 12:36:58 | 000,091,168 | ---- | M] (REALTEK SEMICONDUCTOR Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTL2832UBDA.sys -- (RTL2832UBDA)
DRV - [2009/06/18 12:04:20 | 000,034,064 | ---- | M] (CACE Technologies) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\npf.sys -- (NPF)
DRV - [2009/05/11 05:12:49 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009/02/13 06:35:01 | 000,011,608 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\Programme\Avira\AntiVir Desktop\avgio.sys -- (avgio)
DRV - [2006/11/10 10:05:00 | 000,018,688 | ---- | M] (Arcsoft, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\afc.sys -- (Afc)
DRV - [2004/11/11 07:00:00 | 000,622,172 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2004/11/11 07:00:00 | 000,400,384 | ---- | M] (Sensaura) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS -- (ALCXSENS)
DRV - [2004/11/11 07:00:00 | 000,070,144 | ---- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtlnicxp.sys -- (RTL8023xp)
DRV - [2004/11/11 07:00:00 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2004/08/03 18:10:14 | 000,015,360 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE)
DRV - [2004/08/03 18:00:06 | 000,149,376 | ---- | M] (M-Systems) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\tffsport.sys -- (tffsport)
DRV - [2003/12/22 01:52:30 | 000,014,938 | ---- | M] (Creative Technology Ltd) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ProdDrvr.sys -- (Prodikeys)
DRV - [2003/03/05 00:19:28 | 000,015,840 | R--- | M] (Creative Technology Ltd.) [Kernel | Auto] -- C:\WINDOWS\system32\PfModNT.sys -- (PfModNT)
DRV - [2003/01/10 17:13:04 | 000,033,588 | R--- | M] (America Online, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wanatw4.sys -- (wanatw) WAN Miniport (ATW)
DRV - [2001/08/17 22:27:44 | 000,009,472 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\NtApm.sys -- (NtApm)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Upgrade to Google Chrome
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = Upgrade to Google Chrome
IE - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Upgrade to Google Chrome
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = [String data over 1000 bytes]
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Upgrade to Google Chrome
IE - HKU\Administrator_ON_C\..\URLSearchHook: {1CFFA392-0898-4b1c-89D1-6E98F9D8EF78} - Reg Error: Key error. File not found
IE - HKU\Administrator_ON_C\..\URLSearchHook: {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - Reg Error: Key error. File not found
IE - HKU\Administrator_ON_C\..\URLSearchHook: {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll ()
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
========== FireFox ==========
 
FF - prefs.js..browser.search.defaultenginename: "SearchTheWeb"
FF - prefs.js..browser.search.defaultthis.engineName: "Search"
FF - prefs.js..browser.search.defaulturl: ""
FF - prefs.js..browser.search.selectedEngine: "SweetIM Search"
FF - prefs.js..browser.startup.homepage: "hxxp://search.iminent.com/?appId=6bb8a3a9-0a03-4469-be7c-dc9fa0a04be5&lcid=1031&ref=homepage"
FF - prefs.js..extensions.enabledItems: {cc05a3e3-64c3-4af2-bfc1-af0d66b69065}:2.5.8.6
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
FF - prefs.js..keyword.URL: "chrome://browser-region/locale/region.properties"
FF - prefs.js..network.proxy.type: 0
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: ""
FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2269050&SearchSource=3&q={searchTerms}"
FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search"
FF - prefs.js..browser.startup.homepage: "hxxp://search.conduit.com/?ctid=CT2269050&SearchSource=13"
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/VirtualEarth3D,version=4.0: C:\Programme\Virtual Earth 3D\ [2011/04/29 04:32:59 | 000,000,000 | ---D | M]
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@real.com/nppl3260;version=6.0.12.448: C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprjplug;version=1.0.3.448: C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nprpjplug;version=6.0.12.448: C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll (RealNetworks, Inc.)
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3:  File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9:  File not found
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Components: C:\Programme\Mozilla Firefox\components [2012/03/18 08:30:30 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 11.0\extensions\\Plugins: C:\Programme\Mozilla Firefox\plugins [2012/02/07 13:06:17 | 000,000,000 | ---D | M]
 
[2009/03/26 07:50:03 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Extensions
[2009/02/18 08:45:36 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\extensions
[2009/02/18 08:45:36 | 000,000,000 | ---D | M] ("Ask Toolbar for Firefox") -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
[2012/02/28 05:15:17 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\xv9azwej.default\extensions
[2012/02/20 11:55:48 | 000,000,000 | ---D | M] ("BetterSearch") -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\xv9azwej.default\extensions\{2bfc8624-5b8a-4060-b86a-e78ccbc38509}
[2012/01/28 06:53:21 | 000,000,000 | ---D | M] ("Free YouTube Download (Free Studio) Menu") -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\xv9azwej.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}
[2012/01/28 06:53:14 | 000,000,000 | ---D | M] (IMinent Toolbar) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\xv9azwej.default\extensions\{C9B68337-E93A-44EA-94DC-CB300EC06444}
[2011/10/03 03:34:46 | 000,000,000 | ---D | M] (softonic-de3 Community Toolbar) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\xv9azwej.default\extensions\{cc05a3e3-64c3-4af2-bfc1-af0d66b69065}(2)
[2010/04/09 01:43:58 | 000,000,000 | ---D | M] (DVDVideoSoft Toolbar) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\xv9azwej.default\extensions\{e9911ec6-1bcc-40b0-9993-e0eea7f6953f}
[2011/12/08 14:59:29 | 000,000,000 | ---D | M] (SweetIM Toolbar for Firefox) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\xv9azwej.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
[2011/12/08 14:56:50 | 000,000,000 | ---D | M] (Babylon) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\xv9azwej.default\extensions\ffxtlbr@babylon.com
[2012/02/28 05:15:17 | 000,000,000 | ---D | M] (Gutscheinrausch.de) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mozilla\Firefox\Profiles\xv9azwej.default\extensions\mail@gutscheinrausch.de
[2010/04/09 01:48:31 | 000,000,873 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xv9azwej.default\searchplugins\conduit.xml
[2012/01/28 11:08:01 | 000,002,270 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xv9azwej.default\searchplugins\SearchTheWeb.xml
[2011/12/01 11:24:03 | 000,003,915 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\xv9azwej.default\searchplugins\sweetim.xml
[2012/02/07 14:10:28 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2012/01/28 06:52:57 | 000,000,000 | ---D | M] (Iminent WebBooster) -- C:\Programme\Mozilla Firefox\extensions\webbooster@iminent.com
File not found (No name found) -- 
[2010/12/03 08:56:37 | 000,000,000 | ---D | M] (Java Quick Starter) -- C:\PROGRAMME\JAVA\JRE6\LIB\DEPLOY\JQS\FF
[2012/03/18 08:30:29 | 000,097,208 | ---- | M] (Mozilla Foundation) -- C:\Programme\mozilla firefox\components\browsercomps.dll
[2008/06/19 14:46:24 | 000,118,784 | ---- | M] (CANON INC.) -- C:\Programme\mozilla firefox\plugins\MyCamera.dll
[2008/06/19 14:46:24 | 000,053,248 | ---- | M] (CANON INC.) -- C:\Programme\mozilla firefox\plugins\NPCIG.dll
[2010/12/03 08:56:37 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\mozilla firefox\plugins\npdeployJava1.dll
[2012/01/29 10:02:49 | 000,001,392 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012/01/29 09:50:55 | 000,002,252 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\bing.xml
[2012/01/29 10:02:49 | 000,001,153 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\eBay-de.xml
[2012/01/29 10:02:49 | 000,006,805 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\leo_ende_de.xml
[2011/12/28 09:18:04 | 000,002,157 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\SearchTheWeb.xml
[2012/01/29 10:02:49 | 000,001,178 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\wikipedia-de.xml
[2012/01/29 10:02:49 | 000,001,105 | ---- | M] () -- C:\Programme\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2004/11/11 07:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O2 - BHO: (TBSB01620 Class) - {58124A0B-DC32-4180-9BFF-E0E21AE34026} - C:\Programme\IMinent Toolbar\tbcore3.dll ()
O2 - BHO: (AOL Toolbar Launcher) - {7C554162-8CB7-45A4-B8F4-8EA1C75885F9} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll (AOL LLC)
O2 - BHO: (no name) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - No CLSID value found.
O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Programme\Iminent\IMBooster4Web\Iminent.WebBooster.dll (Iminent)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.7227.1100\swg.dll (Google Inc.)
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKLM\..\Toolbar: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Programme\IMinent Toolbar\tbcore3.dll ()
O3 - HKLM\..\Toolbar: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll (AOL LLC)
O3 - HKU\Administrator_ON_C\..\Toolbar\ShellBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKU\Administrator_ON_C\..\Toolbar\ShellBrowser: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Programme\IMinent Toolbar\tbcore3.dll ()
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (Ask Toolbar) - {3041D03E-FD4B-44E0-B742-2D9B88305F98} - C:\Programme\AskBarDis\bar\bin\askBar.dll (Ask.com)
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (IMinent Toolbar) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - C:\Programme\IMinent Toolbar\tbcore3.dll ()
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (AOL Toolbar) - {DE9C389F-3316-41A7-809B-AA305ED9D922} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll (AOL LLC)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira GmbH)
O4 - HKLM..\Run: [BX6kRBeYBXtpN21] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O4 - HKLM..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\aol\1234892461\ee\aolsoftware.exe (America Online, Inc.)
O4 - HKLM..\Run: [IMBooster] C:\Programme\Iminent\IMBooster\imbooster.exe (Iminent)
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O4 - HKLM..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe (Ahead Software Gmbh)
O4 - HKLM..\Run: [ProdikeysAutorun] C:\Programme\Creative\Prodikeys\ProdLoad.exe (Creative Technology Ltd)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\Monitor.exe (Ulead Systems, Inc.)
O4 - HKU\Administrator_ON_C..\Run: [8Y8V8U6X2GYJ7D1WRFYVC]  File not found
O4 - HKU\Administrator_ON_C..\Run: [BX6kRBeYBXtpN21] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O4 - HKU\Administrator_ON_C..\Run: [NBJ] C:\Programme\Ahead\Nero BackItUp\NBJ.exe (Ahead Software AG)
O4 - HKU\LocalService_ON_C..\Run: [8Y8V8U6X2GYJ7D1WRFYVC]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\UMAX VistaAccess.lnk = C:\VSTASCAN\vsaccess.exe (UMAX Data Systems Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0a\aoltray.exe (America Online, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Kodak EasyShare Software.lnk = C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe (Eastman Kodak Company)
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: &AOL Toolbar-Suche - C:\Programme\AOL\AOL Toolbar 4.0\resources\de-DE\local\search.html ()
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O8 - Extra context menu item: Free YouTube Download - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubedownload.htm ()
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm ()
O9 - Extra Button: AOL Toolbar - {3369AF0D-62E9-4bda-8103-B4C75499B578} - C:\Programme\AOL\AOL Toolbar 4.0\aoltb.dll (AOL LLC)
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\10\OWC10.DLL (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O20 - HKU\Administrator_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O24 - Desktop Components:0 () - hxxp://i.ebayimg.com/00/$%28KGrHqMOKjsE1qt8045HBNp0vtc2%28%21%7E%7E_3.JPG
O24 - Desktop Components:1 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010/07/21 09:12:51 | 000,000,100 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 07:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O33 - MountPoints2\{4933fc63-e976-11de-8de2-000c76f14ee0}\Shell - "" = AutoRun
O33 - MountPoints2\{4933fc63-e976-11de-8de2-000c76f14ee0}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4933fc63-e976-11de-8de2-000c76f14ee0}\Shell\AutoRun\command - "" = G:\LaunchU3.exe
O33 - MountPoints2\{4933fc64-e976-11de-8de2-000c76f14ee0}\Shell\AutoRun\command - "" = H:\setupSNK.exe
O33 - MountPoints2\{baaab830-1b8e-11de-8ac1-00038a000015}\Shell\AutoRun\command - "" = G:\setupSNK.exe
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offlinebrowsingpaket
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer-Hilfe
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {61r1K7Zg-HMWm-14l4-knLL-DFbthPjzcAFc} - 
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsererweiterungen
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - Zugang zu MSN Site
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - %SystemRoot%\system32\ie4uinit.exe
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML-Datenbindung
ActiveX: {ACC563BC-4266-43f0-B6ED-9D38C4202C7E} - 
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer-Hauptschriftarten
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Macromedia Shockwave Flash
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML-Hilfe
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012/04/04 11:07:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\CSC
[2012/03/31 07:26:58 | 000,240,128 | ---- | C] (jqUhg) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe
[2012/03/24 11:52:29 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Desktop\lahn 21.3.2012
[2012/03/21 06:47:36 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\LocalService\SendTo
[2012/03/21 06:47:35 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\LocalService\Startmenü\Programme\Zubehör
[2012/03/21 06:47:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Identities
[2012/03/21 06:46:50 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\LocalService\Recent
[2012/03/21 06:46:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Desktop
[2012/03/21 06:46:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Startmenü\Programme\Autostart
[2009/03/26 07:49:06 | 007,356,928 | ---- | C] (Mozilla) -- C:\Programme\Firefox Setup 3.0.7.exe
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[23 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012/04/04 11:26:07 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012/04/04 11:25:52 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012/04/04 11:10:56 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012/04/04 10:50:57 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012/03/31 07:26:55 | 000,240,128 | ---- | M] (jqUhg) -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe
[2012/03/31 07:21:00 | 000,001,242 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-73586283-823518204-725345543-500UA.job
[2012/03/31 07:06:35 | 000,007,786 | ---- | M] () -- C:\WINDOWS\vista32.ini
[2012/03/30 13:21:00 | 000,001,190 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-73586283-823518204-725345543-500Core.job
[2012/03/30 12:34:17 | 002,748,416 | R--- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\ESBK.mb
[2012/03/30 12:33:23 | 006,159,360 | R--- | M] () -- C:\Dokumente und Einstellungen\All Users\Dokumente\ESBK.mbb
[2012/03/25 04:28:35 | 000,452,978 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012/03/25 04:28:35 | 000,435,840 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012/03/25 04:28:35 | 000,081,444 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012/03/25 04:28:35 | 000,068,544 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012/03/21 06:47:37 | 000,000,759 | ---- | M] () -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2012/03/18 07:16:36 | 000,115,200 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[23 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012/03/21 06:47:37 | 000,000,759 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Internet Explorer Browser starten.lnk
[2012/03/21 06:47:37 | 000,000,747 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Startmenü\Programme\Internet Explorer.lnk
[2012/03/21 06:47:35 | 000,000,772 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Startmenü\Programme\Windows Media Player.lnk
[2012/03/21 06:47:34 | 000,000,718 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Startmenü\Programme\Outlook Express.lnk
[2012/02/06 08:49:33 | 000,393,256 | ---- | C] () -- C:\WINDOWS\System32\CNQ4809N.DAT
[2011/12/07 12:25:50 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2011/04/04 13:27:52 | 001,193,008 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2011/03/26 12:07:30 | 000,053,299 | ---- | C] () -- C:\WINDOWS\System32\pthreadVC.dll
[2011/01/18 01:10:38 | 000,000,931 | ---- | C] () -- C:\WINDOWS\posteriza.INI
[2010/10/14 15:41:45 | 000,000,123 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AVSMediaPlayer.m3u
[2010/10/14 15:40:16 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll
[2010/10/14 15:40:15 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll
[2010/06/23 04:27:51 | 000,000,082 | ---- | C] () -- C:\WINDOWS\ULEAD32.INI
[2010/06/23 04:26:07 | 000,000,020 | ---- | C] () -- C:\WINDOWS\ULEAD.INI
[2010/06/15 12:00:24 | 000,008,354 | -HS- | C] () -- C:\WINDOWS\System32\KGyGaAvL.sys
[2010/03/08 06:52:12 | 000,185,856 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2010/03/08 06:46:07 | 000,127,085 | ---- | C] () -- C:\WINDOWS\System32\RTKFMSOURCE.dll
[2009/11/12 09:05:33 | 000,011,776 | ---- | C] () -- C:\WINDOWS\System32\pmsbfn32.dll
[2009/11/12 09:05:33 | 000,000,406 | ---- | C] () -- C:\WINDOWS\umxaddin.ini
[2009/11/12 09:04:23 | 000,000,047 | ---- | C] () -- C:\WINDOWS\OPLEINST.INI
[2009/11/12 04:56:59 | 000,000,252 | ---- | C] () -- C:\WINDOWS\_delis43.ini
[2009/11/11 07:24:14 | 000,000,046 | ---- | C] () -- C:\WINDOWS\cdplayer.ini
[2009/10/15 05:02:33 | 000,000,725 | ---- | C] () -- C:\WINDOWS\aolback.exe.lnk
[2009/08/26 07:22:05 | 000,000,050 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2009/05/17 11:34:14 | 000,000,315 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mdbu.bin
[2009/04/23 16:45:31 | 000,000,030 | ---- | C] () -- C:\WINDOWS\Iedit_.INI
[2009/04/22 08:40:05 | 000,000,112 | ---- | C] () -- C:\WINDOWS\ActiveSkin.INI
[2009/03/26 06:31:01 | 030,143,040 | ---- | C] () -- C:\Programme\avira_antivir_personal_de.exe
[2009/03/26 06:22:34 | 000,002,321 | ---- | C] () -- C:\WINDOWS\vista32d.ini
[2009/03/26 06:22:34 | 000,000,026 | ---- | C] () -- C:\WINDOWS\ucmsp_32.ini
[2009/03/26 06:12:25 | 001,294,336 | ---- | C] () -- C:\WINDOWS\System32\MGIIpl2A6.dll
[2009/03/26 06:12:25 | 001,261,568 | ---- | C] () -- C:\WINDOWS\System32\MGIIpl2M6.dll
[2009/03/26 06:12:25 | 001,228,800 | ---- | C] () -- C:\WINDOWS\System32\MGIIpl2M5.dll
[2009/03/26 06:12:25 | 001,105,920 | ---- | C] () -- C:\WINDOWS\System32\MGIIpl2P6.dll
[2009/03/26 06:12:25 | 001,052,672 | ---- | C] () -- C:\WINDOWS\System32\MGIIpl2P5.dll
[2009/03/26 06:12:07 | 000,000,002 | ---- | C] () -- C:\WINDOWS\PhotoSuite.ini
[2009/03/26 06:12:03 | 001,093,632 | ---- | C] () -- C:\WINDOWS\System32\MGIIpl2PX.dll
[2009/03/26 06:12:03 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\JPEGLIB.DLL
[2009/03/26 06:12:03 | 000,122,880 | ---- | C] () -- C:\WINDOWS\System32\EnrouteStitch.dll
[2009/03/26 06:12:03 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\MGIIpl2.dll
[2009/03/26 06:12:03 | 000,019,968 | ---- | C] () -- C:\WINDOWS\System32\CPUINF32.DLL
[2009/03/26 06:12:02 | 000,332,800 | ---- | C] () -- C:\WINDOWS\System32\FPXLIB.DLL
[2009/03/15 11:34:51 | 000,000,102 | ---- | C] () -- C:\WINDOWS\syg20ply.ini
[2009/03/12 05:54:59 | 000,288,627 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\wgiiogm_nav.dat
[2009/03/12 05:54:59 | 000,002,931 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\wgiiogm.dat
[2009/03/12 05:54:59 | 000,001,893 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\wgiiogm_navps.dat
[2009/03/11 12:11:39 | 000,000,000 | ---- | C] () -- C:\WINDOWS\prestopm.INI
[2009/03/11 12:10:47 | 000,000,029 | ---- | C] () -- C:\WINDOWS\DEBUGSM.INI
[2009/03/11 12:09:09 | 000,001,791 | ---- | C] () -- C:\WINDOWS\IF40LE.INI
[2009/03/11 12:09:09 | 000,000,277 | ---- | C] () -- C:\WINDOWS\PEXPLORE.INI
[2009/03/11 11:51:15 | 000,000,261 | ---- | C] () -- C:\WINDOWS\MAXLINK.INI
[2009/03/11 11:48:04 | 000,007,786 | ---- | C] () -- C:\WINDOWS\vista32.ini
[2009/03/11 11:48:04 | 000,000,189 | ---- | C] () -- C:\WINDOWS\KPCMS.INI
[2009/03/11 11:48:04 | 000,000,065 | ---- | C] () -- C:\WINDOWS\umaxdrv.ini
[2009/03/11 11:47:59 | 000,001,571 | ---- | C] () -- C:\WINDOWS\faxcpp1.ini
[2009/03/11 11:47:59 | 000,000,422 | ---- | C] () -- C:\WINDOWS\faxcpp.ini
[2009/03/11 11:47:48 | 000,047,616 | R--- | C] () -- C:\WINDOWS\ucmsp_32.dll
[2009/03/11 11:47:38 | 000,393,216 | ---- | C] () -- C:\WINDOWS\rts8891u.dll
[2009/03/11 11:47:38 | 000,083,773 | ---- | C] () -- C:\WINDOWS\umaxuapi.ini
[2009/03/11 11:47:38 | 000,036,864 | ---- | C] () -- C:\WINDOWS\urt4400.dll
[2009/03/11 11:47:38 | 000,005,379 | ---- | C] () -- C:\WINDOWS\VsConfig.ini
[2009/03/11 11:47:38 | 000,003,495 | ---- | C] () -- C:\WINDOWS\Button.ini
[2009/03/11 11:47:37 | 000,064,845 | ---- | C] () -- C:\WINDOWS\pmmail.exe
[2009/03/11 11:47:37 | 000,030,208 | ---- | C] () -- C:\WINDOWS\uxmail32.dll
[2009/03/11 11:47:37 | 000,021,504 | ---- | C] () -- C:\WINDOWS\imgtortf.exe
[2009/03/11 11:47:36 | 000,068,608 | ---- | C] () -- C:\WINDOWS\vufile32.dll
[2009/03/04 17:35:39 | 000,000,101 | ---- | C] () -- C:\WINDOWS\RailSound.ini
[2009/02/23 12:22:01 | 007,270,741 | ---- | C] () -- C:\Programme\Umax_Astra_4500_(Twain_Treiber).zip
[2009/02/23 08:05:14 | 001,505,160 | ---- | C] () -- C:\Programme\install_easyshare.exe
[2009/02/19 12:14:42 | 000,002,516 | -HS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
[2009/02/19 12:14:42 | 000,000,008 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\9DBE66259F.sys
[2009/02/18 13:14:10 | 000,000,542 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\flashplayer.html
[2009/02/18 08:49:11 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini
[2009/02/17 14:58:12 | 000,115,200 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/02/17 13:40:53 | 000,000,335 | ---- | C] () -- C:\WINDOWS\nsreg.dat
[2009/02/17 04:40:12 | 000,000,400 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2009/02/17 04:23:43 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2009/02/17 04:17:50 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2009/02/17 04:13:30 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2009/02/17 04:12:36 | 000,278,944 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007/07/31 12:28:56 | 000,933,888 | ---- | C] () -- C:\WINDOWS\System32\BatchEncoder1.dll
[2006/11/02 15:40:12 | 000,174,656 | ---- | C] () -- C:\WINDOWS\System32\PSIService.exe
[2004/11/11 07:00:00 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2004/11/11 07:00:00 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2004/11/11 07:00:00 | 000,452,978 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2004/11/11 07:00:00 | 000,435,840 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2004/11/11 07:00:00 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2004/11/11 07:00:00 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2004/11/11 07:00:00 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2004/11/11 07:00:00 | 000,155,648 | ---- | C] () -- C:\WINDOWS\System32\RTLCPAPI.dll
[2004/11/11 07:00:00 | 000,081,920 | ---- | C] () -- C:\WINDOWS\System32\ieencode.dll
[2004/11/11 07:00:00 | 000,081,444 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2004/11/11 07:00:00 | 000,068,544 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2004/11/11 07:00:00 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2004/11/11 07:00:00 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2004/11/11 07:00:00 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2004/11/11 07:00:00 | 000,027,440 | ---- | C] () -- C:\WINDOWS\System32\drivers\secdrv.sys
[2004/11/11 07:00:00 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2004/11/11 07:00:00 | 000,004,463 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2004/11/11 07:00:00 | 000,001,788 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2004/11/11 07:00:00 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2004/09/16 16:24:26 | 003,375,104 | ---- | C] () -- C:\WINDOWS\System32\qt-mt331.dll
[2003/02/20 12:53:42 | 000,005,702 | ---- | C] () -- C:\WINDOWS\System32\OUTLPERF.INI
 
========== LOP Check ==========
 
[2011/12/04 10:20:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Babylon
[2012/02/07 13:06:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Canon
[2011/12/04 10:25:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CasaPortale(2).de
[2012/02/08 04:55:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoft
[2011/03/24 08:57:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DVDVideoSoftIEHelpers
[2012/01/26 08:51:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Engelmann Media
[2011/10/22 09:09:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\EverAd
[2009/03/01 05:05:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\FreeTV
[2011/04/29 13:32:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GrabPro
[2009/02/17 13:27:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Hansenet
[2011/08/28 12:13:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\HDX4 GmbH
[2011/12/08 14:59:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\IN-MEDIAKG
[2009/11/28 11:30:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust
[2011/08/04 14:07:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\mresreg
[2012/01/25 07:47:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\muvee Technologies
[2012/02/28 05:15:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\OpenCandy
[2012/02/28 05:22:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Orbit
[2010/10/05 16:46:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PriceGong
[2011/04/29 13:32:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ProgSense
[2009/02/18 13:12:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\S.A.D
[2011/12/01 04:45:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Samsung
[2009/02/23 08:11:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skinux
[2009/03/06 12:04:02 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Synthesia
[2012/01/28 06:53:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Toolbar4
[2009/02/17 04:26:59 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
[2010/06/24 07:54:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Ulead Systems
[2011/11/25 05:02:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Viewpoint
[2009/05/17 11:37:38 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Zoner
[2012/02/06 09:28:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJSolutionMenuEX
[2012/02/06 09:24:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJWSpt
[2011/07/20 11:47:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HDX4 GmbH
[2012/01/26 08:29:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IMinent
[2011/04/04 13:00:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Licenses
[2010/07/21 09:30:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies
[2009/04/19 06:25:46 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
[2011/12/08 15:03:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Samsung
[2010/06/24 07:51:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
[2011/12/01 11:23:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SweetIM
[2012/01/25 05:07:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
[2010/06/24 07:53:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
[2009/02/17 13:41:58 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
[2010/12/27 09:09:40 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{7C00C920-BF6E-47F6-96A9-295EF21C2204}
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
 
< %SYSTEMDRIVE%\*. >
[2011/04/04 13:25:29 | 000,000,000 | ---D | M] -- C:\84c75dbeb992610a7a4b84d4a9
[2010/12/27 14:44:11 | 000,000,000 | ---D | M] -- C:\ag2002
[2012/01/29 11:22:47 | 000,000,000 | -HSD | M] -- C:\Config.Msi
[2011/06/29 13:59:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2012/02/28 05:19:27 | 000,000,000 | ---D | M] -- C:\Downloads
[2009/10/15 05:02:14 | 000,000,000 | ---D | M] -- C:\My Music
[2012/03/25 05:46:16 | 000,000,000 | ---D | M] -- C:\My PageManager
[2009/09/22 13:29:04 | 000,000,000 | ---D | M] -- C:\My PageManager-1
[2009/08/28 08:03:16 | 000,000,000 | ---D | M] -- C:\NINETIES
[2010/10/26 20:32:45 | 000,000,000 | ---D | M] -- C:\NVIDIA
[2012/01/28 06:52:51 | 000,000,000 | ---D | M] -- C:\Program Files
[2012/03/22 09:05:50 | 000,000,000 | R--D | M] -- C:\Programme
[2011/07/08 06:27:04 | 000,000,000 | -H-D | M] -- C:\Recycle.Bin
[2009/02/17 13:31:40 | 000,000,000 | -HSD | M] -- C:\RECYCLER
[2010/06/24 07:52:04 | 000,000,000 | ---D | M] -- C:\SmartSound Software
[2012/01/18 15:26:20 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011/10/03 03:35:21 | 000,000,000 | ---D | M] -- C:\SystemData
[2012/03/21 06:47:35 | 000,000,000 | ---D | M] -- C:\timerintray
[2009/03/26 06:41:53 | 000,000,000 | ---D | M] -- C:\VSTASCAN
[2010/12/28 12:41:40 | 000,000,000 | ---D | M] -- C:\wbv13
[2012/04/04 11:07:25 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
[2009/03/26 06:31:08 | 030,143,040 | ---- | M] () -- C:\Programme\avira_antivir_personal_de.exe
[2009/03/26 07:49:26 | 007,356,928 | ---- | M] (Mozilla) -- C:\Programme\Firefox Setup 3.0.7.exe
[2009/02/23 08:05:16 | 001,505,160 | ---- | M] () -- C:\Programme\install_easyshare.exe
 
Invalid Environment Variable: %LOCALAPPDATA%\*.exe
 
< %systemroot%\*. /mp /s >
 
 
< MD5 for: AGP440.SYS  >
[2004/11/11 07:00:00 | 017,006,491 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2004/08/03 18:07:42 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=2C428FA0C3E3A01ED93C9B2A27D8D4BB -- C:\WINDOWS\system32\drivers\AGP440.SYS
 
< MD5 for: ATAPI.SYS  >
[2004/11/11 07:00:00 | 017,006,491 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2004/11/11 07:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2004/11/11 07:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\dllcache\eventlog.dll
[2004/11/11 07:00:00 | 000,055,808 | ---- | M] (Microsoft Corporation) MD5=B932C077D5A65B71B4512544AC404CB4 -- C:\WINDOWS\system32\eventlog.dll
 
< MD5 for: EXPLORER.EXE  >
[2004/11/11 07:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\explorer.exe
[2004/11/11 07:00:00 | 001,035,264 | ---- | M] (Microsoft Corporation) MD5=22FE1BE02EADDE1632E478E4125639E0 -- C:\WINDOWS\system32\dllcache\explorer.exe
 
< MD5 for: NETLOGON.DLL  >
[2004/11/11 07:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\system32\dllcache\netlogon.dll
[2004/11/11 07:00:00 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=D27395EDCD3416AFD125A9370DCB585C -- C:\WINDOWS\system32\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2004/11/11 07:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\dllcache\scecli.dll
[2004/11/11 07:00:00 | 000,186,880 | ---- | M] (Microsoft Corporation) MD5=64DC26B3CF7BCCAD431CE360A4C625D5 -- C:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2005/03/02 14:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\system32\dllcache\user32.dll
[2005/03/02 14:09:46 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=3751D7CF0E0A113D84414992146BCE6A -- C:\WINDOWS\system32\user32.dll
[2005/03/02 14:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2004/11/11 07:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\dllcache\userinit.exe
[2004/11/11 07:00:00 | 000,025,088 | ---- | M] (Microsoft Corporation) MD5=D1E53DC57143F2584B1DD53B036C0633 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2004/11/11 07:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\dllcache\winlogon.exe
[2004/11/11 07:00:00 | 000,507,392 | ---- | M] (Microsoft Corporation) MD5=2B6A0BAF33A9918F09442D873848FF72 -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2004/11/11 07:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2004/11/11 07:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2009/02/17 05:11:53 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2009/02/17 05:11:52 | 000,671,744 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2009/02/17 05:11:52 | 000,425,984 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\system32\*.dll /lockedfiles >
[2004/11/11 07:00:00 | 000,148,480 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\dnsapi.dll
[2004/11/11 07:00:00 | 000,280,064 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\mstask.dll
[2004/11/11 07:00:00 | 000,067,072 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\ntdsapi.dll
[2005/03/10 04:04:04 | 001,483,776 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\shdocvw.dll
[2005/02/28 19:11:50 | 008,491,008 | ---- | M] (Microsoft Corporation) Unable to obtain MD5 -- C:\WINDOWS\system32\shell32.dll
[3 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]
 
Invalid Environment Variable: %USERPROFILE%\*.*
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.exe
 
Invalid Environment Variable: %USERPROFILE%\Local Settings\Temp\*.dll
 
Invalid Environment Variable: %USERPROFILE%\Application Data\*.exe
 
========== Files - Unicode (All) ==========
[2009/02/18 12:05:22 | 000,000,000 | ---D | M](C:\Dokumente und Eio?) -- C:\Dokumente und Eioέ
[2009/02/18 12:05:22 | 000,000,000 | ---D | M](C:\Dokumente und Eio?) -- C:\Dokumente und Eioέ
[2009/02/18 12:05:22 | 000,000,000 | ---D | C](C:\Dokumente und Eio?) -- C:\Dokumente und Eioέ
[2009/02/18 07:26:48 | 000,000,000 | ---D | M](C:\Dokumente und Ei3?) -- C:\Dokumente und Ei3έ
[2009/02/18 07:26:48 | 000,000,000 | ---D | M](C:\Dokumente und Ei3?) -- C:\Dokumente und Ei3έ
[2009/02/18 07:26:48 | 000,000,000 | ---D | C](C:\Dokumente und Ei3?) -- C:\Dokumente und Ei3έ
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 147 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5666C445
< End of report >

--- --- ---

Psychotic · 16.04.2012, 10:51

Schritt 1: Fix mit OTLPE

An einem anderen PC, klicke auf Start-->ausführen.
Schreibe Notepad in die Textbox, klicke OK.

Kopiere nun den Inhalt der folgenden Codebox vollständig in das leere Textdokument:

Code:

ATTFilter

:OTL
O4 - HKLM..\Run: [BX6kRBeYBXtpN21] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O4 - HKU\Administrator_ON_C..\Run: [8Y8V8U6X2GYJ7D1WRFYVC]  File not found
O4 - HKU\Administrator_ON_C..\Run: [BX6kRBeYBXtpN21] C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O4 - HKU\LocalService_ON_C..\Run: [8Y8V8U6X2GYJ7D1WRFYVC]  File not found
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O20 - HKLM Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O20 - HKU\Administrator_ON_C Winlogon: Shell - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
O20 - HKU\Administrator_ON_C Winlogon: UserInit - (C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe) - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe (jqUhg)
@Alternate Data Stream - 147 bytes -> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5666C445
:commands
[emptytemp]
[emptyflash]

Speichere die Datei als fix.txt auf einem USB-Stick.
Am infizierten Rechner, schließe den USB-Stick an, boote OTLPEN.
Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Klicke nun bitte auf den Fix Button.
Lade die fix.txt von deinem Stick.
Klicke den Fix-Button.
Starte Windows nun normal. Es sollte sich eine OTL.txt öffnen, poste deren Inhalt in deinem nächsten Thread.

Schritt 2: defogger

Downloade Dir bitte defogger von jpshortstuff auf Deinem Desktop.

Starte das Tool mit Doppelklick.
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Klicke nun auf den Disable Button um die Treiber gewisser Emulatoren zu deaktivieren.
Wenn der Scan beendet wurde ( Finished ), klicke auf OK.
Defogger fordert gegebenfalls zum Neustart auf. Bestätige dies mit OK.

Sollte Defogger eine Fehlermeldung ausgeben, poste bitte die defogger_disable Log von deinem Desktop.
Klicke den Re-enable Button nicht ohne Anweisung.

Schritt 3: Gmer

Bitte

alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
nichts am Rechner arbeiten,
nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
Alle anderen Programme sollen geschlossen sein.
Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
Sollte sich ein Fenster mit folgender Warnung öffnen:
WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?
Unbedingt auf "No" klicken.
Entferne rechts den Haken bei:
- IAT/EAT
- Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
- Show all (sollte abgehackt sein)
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Psychotic · 18.04.2012, 13:08

Hallo, benötigst Du noch weiterhin Hilfe ? Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten. Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

ibiza-6k · 19.04.2012, 11:28

Es gab kein Problem mit der Anwendung, eher ein Zeitliches :-)

So, hier die Datei aus Schritt 1

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\BX6kRBeYBXtpN21 deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe moved successfully.
Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\8Y8V8U6X2GYJ7D1WRFYVC deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\BX6kRBeYBXtpN21 deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe not found.
Registry value HKEY_USERS\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\8Y8V8U6X2GYJ7D1WRFYVC deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableTaskMgr deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\DisableRegistryTools deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe not found.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe not found.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe deleted successfully.
File C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\y6drxuj c7ti.exe not found.
ADS C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP:5666C445 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 49152 bytes

Total Files Cleaned = 0.00 mb

[EMPTYFLASH]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

Total Flash Files Cleaned = 0.00 mb

OTLPE by OldTimer - Version 3.1.48.0 log created on 04192012_174657

Hier das Ergebniss aus Schritt 2

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 17:55 on 19/04/2012 (Administrator)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

Den Scan aus Schritt drei habe ich aktuell noch laufen.

ibiza-6k · 22.04.2012, 17:37

Hier Der Report von dem Scan
GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover
Rootkit scan 2012-04-20 06:01:31
Windows 5.1.2600 Service Pack 2 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 WDC_WD2500AAJB-00J3A0 rev.01.03E01
Running: cg0upem3.exe; Driver: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\kxtdipow.sys


---- System - GMER 1.0.15 ----

SSDT            AD92B394                                  ZwClose
SSDT            AD92B34E                                  ZwCreateKey
SSDT            AD92B39E                                  ZwCreateSection
SSDT            AD92B344                                  ZwCreateThread
SSDT            AD92B353                                  ZwDeleteKey
SSDT            AD92B35D                                  ZwDeleteValueKey
SSDT            AD92B38F                                  ZwDuplicateObject
SSDT            AD92B362                                  ZwLoadKey
SSDT            AD92B330                                  ZwOpenProcess
SSDT            AD92B335                                  ZwOpenThread
SSDT            AD92B36C                                  ZwReplaceKey
SSDT            AD92B367                                  ZwRestoreKey
SSDT            AD92B3A3                                  ZwSetContextThread
SSDT            AD92B358                                  ZwSetValueKey
SSDT            AD92B33F                                  ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

init            C:\WINDOWS\system32\drivers\ALCXSENS.SYS  entry point in "init" section [0xB9E4E900]

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Fastfat \Fat                  fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

Auf dem Desktop fehlen mir aktuell die Symbole

Psychotic · 22.04.2012, 22:38

Schritt 1: unhide

Downloade bitte Grinler's unhide.exe auf deinem Desktop Starte das Tool mit Doppelklick. Wenn es seine Arbeit getan hat, wir eine Nachricht mit Done aufpoppen. Es wird auch eine Logfile, Unhide.txt erstellen. Poste diese bitte hier.

Schritt 2: Combofix

Combofix darf ausschließlich ausgeführt werden, wenn dies von einem Team Mitglied angewiesen wurde!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Downloade dir bitte Combofix von einem dieser Downloadspiegel

Link 1
Link 2

WICHTIG - Speichere Combofix auf deinem Desktop

Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

ibiza-6k · 23.04.2012, 16:50

Ich kann keine Icons auf den Desktop setzten..... das klappt nicht...
Und die ganzen anderen Verknüpfungen sehe ich auch nicht.

Ich kann nichts auf dem Desktop speichern.
Die ganzen anderen Verknüpfungen werden mir auch nicht angezeigt

Oh misst doppelt...... sorry...

Psychotic · 24.04.2012, 06:32

verflixt!

Fix mit OTLPE

An einem anderen PC, klicke auf Start-->ausführen.
Schreibe Notepad in die Textbox, klicke OK.

Kopiere nun den Inhalt der folgenden Codebox vollständig in das leere Textdokument:

Code:

ATTFilter

:OTL
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 1
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1

Speichere die Datei als fix.txt auf einem USB-Stick.
Am infizierten Rechner, schließe den USB-Stick an, boote OTLPEN.
Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Klicke nun bitte auf den Fix Button.
Lade die fix.txt von deinem Stick.
Klicke den Fix-Button.
Starte Windows nun normal. Es sollte sich eine OTL.txt öffnen, poste deren Inhalt in deinem nächsten Thread.

ibiza-6k · 24.04.2012, 17:49

========== OTL ==========
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoCDBurning deleted successfully.
Registry value HKEY_USERS\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDesktop deleted successfully.

OTLPE by OldTimer - Version 3.1.48.0 log created on 04252012_024713

Nachdem ich windows normal gestertet habe hat sich da nichts geöffnet...... gleiche wie vorher..... Desktop ist leer.......

Psychotic · 25.04.2012, 06:47

Welcher Benutzer ist angemeldet?

ibiza-6k · 25.04.2012, 21:12

Als Administrator (Gibt auch nur den einen Benutzer)

Habe jetzt sogar noch eine neue Meldung bekommen --> Shel-notifire-Icon (oder so ähnlich)

16.04.2012, 10:19	#4
Psychotic /// Malwareteam	weißer bildschirm warte verbindung hergestellt Na, dann poste bitte beide logfiles hier! __________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

25.04.2012, 06:47	#14
Psychotic /// Malwareteam	weißer bildschirm warte verbindung hergestellt Welcher Benutzer ist angemeldet? __________________ Kein Asylrecht für Trojaner! Proud Member of UNITE Hinweis: Ich bin nur werktags erreichbar! Anfragen über PM werden ignoriert! Du bist zufrieden mit uns? Dann unterstütze das Trojaner-Board!

weißer bildschirm warte verbindung hergestellt

Log-Analyse und Auswertung: weißer bildschirm warte verbindung hergestellt