Ja, versuche es erneut!

ok wenn ich nun auf run as administrator gehe könnte man ein passwort eingeben, ohne passwort erscheint B:\Documents and Settings\Default User\ Desktop\aswMBR.exe The specified service does not exist as an installed service. da kann ich dann nur auf OK klicken.

ich könnte es allerdings auch als current user starten und den haken bei protect my computer and data from unauthorized program activity rausnehmen, meinst du dann würde es funktionieren? Mein rechner ist allerdings im moment nicht mit dem Internet verbunden, ich kann also erst mal nix runterladen. ist das denn überhaupt sicher jetzt mit dem rechner online zu gehen?

Was für ein Betriebssystem ist es denn nun???

du schreibst mir, es handelt sich um Windows XP - deine OTL-Datei stammt aber von einem Windows 7 (64bit)!

Klicke Start-->ausführen, gib im Fenster winver ein, klicke ok.

Im sich öffnenden Fenster steht deine Windows-Version!

Mein Rechner zeigt mir im moment auch keine Network Connections an. Ich kann also wohl auch gar nicht online gehen. Wir haben Internet über Funk.

das funktioniert nicht, wenn ich winver eingebe erscheint "windows cannot find "winver". Make sure you typed the name correctly, and then try again. to search for a file, click the Start button, and then click Search.

OK, dann so:

DDS


Downloade dir bitte dds ( von sUBs ) von einem der folgenden Downloadspiegel und speichere die Datei auf deinem Desktop. dds.com dds.scr dds.pif

• Schließe alle laufenden Programme.
• Starte DDS mit Doppelklick.
• Es wird 2 Logfiles erstellen.
  • dds.txt
  • attach.txt
• Speichere beide Logfiles auf deinem Desktop
• Poste beide Logfiles hier.

und wenn ich unter control panel - system schaue zeigt er mir als System: Windows XP an.

.DDS Logfile:
DDS Logfile:

Code: Alles auswählenAufklappen

ATTFilter

DDS (Ver_2011-08-26.01) - CDFS 
Internet Explorer: 6.0.2800.2180
Run by  at 14:16:59 on 2012-04-26
.
============== Running Processes ===============
.
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.com/
uPolicies-explorer: EditLevel = 0 (0x0)
uPolicies-explorer: NoCommonGroups = 0 (0x0)
uPolicies-explorer: NoSMHelp = 1 (0x1)
uPolicies-system: NoColorChoice = 0 (0x0)
uPolicies-system: NoSizeChoice = 0 (0x0)
uPolicies-system: NoVisualStyleChoice = 0 (0x0)
uPolicies-system: SetVisualStyle = %SystemRoot%\Resources\Themes\Luna.theme
dPolicies-explorer: EditLevel = 0 (0x0)
dPolicies-explorer: NoCommonGroups = 0 (0x0)
dPolicies-explorer: NoSMHelp = 1 (0x1)
dPolicies-system: NoColorChoice = 0 (0x0)
dPolicies-system: NoSizeChoice = 0 (0x0)
dPolicies-system: NoVisualStyleChoice = 0 (0x0)
dPolicies-system: SetVisualStyle = %SystemRoot%\Resources\Themes\Luna.theme
Notify: WB - \Programs\wbload\fastload.dll
SSODL: XpeShutdown - {DEADBEEF-BABE-BABE-BABE-DEADBEEFDEAD} - XpeShutdown.dll
SecurityProviders: schannel.dll
%SystemRoot%\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization, 3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
mASetup: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - regsvr32.exe /s /n /i:/UserInstall themeui.dll
.
============= SERVICES / DRIVERS ===============
.
.
=============== File Associations ===============
.
chm.file=hh.exe %1
.
=============== Created Last 30 ================
.
2012-04-26 18:08:03	--------	d-----w-	\NtmsData
2012-04-26 18:01:11	--------	d-----w-	b:\documents and settings\default user\local settings\application data\Microsoft
.
==================== Find3M  ====================
.
.
============= FINISH: 14:17:25.00 ===============
         

[/CODE]
--- --- ---
--- --- ---

.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
.
==== Disk Partitions =========================
.
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
No restore point in system.
.
==== Installed Programs ======================
.
.
==== End Of File ===========================

Gmer


Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen). Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!! GMER has found system modification, which might have been caused by ROOTKIT activity. Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

ich kann es nicht als admin starten. ohne passwort macht er das nicht. da erscheint nur B:\documents and settings\default user\desktop\9wxne0x7.exe the specified service does not exist as an installed service.

ich hab die datei auf rechner 2 runtergeladen und über den stick rübergebracht

ich kann versuchen es als current user laufen zu lassen und den haken bei protect my computer... rausnehmen?

Zitat:

Vista und Win7 User mit Rechtsklick und als Administrator starten.

Du bist kein Windows Vista/7-User! Vergiss den Rechtsklick!!!

Nimm den Haken raus und starte das Programm wie angegeben!

ok, dann krieg ich als erstes die meldung:
X:\i386\system32\config\system: the system cannot find the file specified. wenn ich auf ok klicke kann ich den scan starten kriege dann aber nach ner weile erneut ne fehlermeldung - ich hatte sie zugemacht, also lass ich nochmal laufen.

ok, die fehlermeldung ist nochmal die gleiche wie eben. ich hab den haken bei iat/eat rausgenommen und einen bei laufwerk c gesetzt
wenn ich dann auf ok klicke macht er das fenster zu.

Moment mal! Jetzt weiß ich, was hier los ist:

Du arbeitest die ganze Zeit unter dem Betriebssystem der Boot-CD. Das kann nicht funktionieren und ich hatte dir gesagt, dass du nach dem OTLPE-Fix Windows im normalen Modus starten sollst!

Vergiss das alles! Mach folgendes:


FRST 64


Downloade dir bitte Farbar's Recovery Scan Tool x64
und speichere diese auf einen USB Stick. Schließe den USB Stick an das infizierte System an.

Du musst das System nun in die System Reparatur Option booten.

Über den Boot Manager

• Starte den Rechner neu auf.
• Während dem Hochfahren drücke mehrmals die F8 Taste
• Wähle nun Computer reparieren.
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Mit Windows CD/DVD

• Lege die Windows CD in dein Laufwerk.
• Starte den Rechner neu auf und starte von der CD
• Wähle die Spracheinstellungen und klicke "Weiter".
• Klicke auf Computerreparaturoptionen !!
• Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils "Weiter".

Wähle in den Reparaturoptionen Eingabeaufforderung

• Gib nun bitte notepad ein und drücke Enter.
• Im öffnenden Textdokument --> Datei --> Speichern unter und wähle Computer Hier wird dir der Laufwerksbuchstabe deines USB Sticks angezeigt.
• Schließe Notepad wieder
• Gib nun bitte folgenden Befehl ein. e:\frst64.exe Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Gegebenfalls anpassen.
• Akzeptiere den Disclaimer mit Yes und klicke Scan

Das Tool erstellt eine FRST.txt auf deinem USB Stick. Poste den Inhalt bitte hier.


Zur Erklärung: erstelle den Stick an dienem funktionierenden Rechner und boote den verseuchten damit!

ok, eine kurze verständnisfrage, ich boote den rechner1 entweder über die cd oder über den bootmanager. ich habe übrigens keine windows cd nur eine recovery cd.

ok er scaned

Du bootest den sauberen Rechner ganz normal und erstellst den Stick.

Dann bootest du den verseuchten Rechner über den Boot Manager, wie beschrieben, und startest dann die Datei vom Stick!

Scan result of Farbar Recovery Scan Tool Version: 22-04-2012
Ran by SYSTEM at 26-04-2012 15:40:14
Running from G:\
Windows 7 Home Premium (X64) OS Language: German Standard
The current controlset is ControlSet001

========================== Registry (Whitelisted) =============

HKLM\...\Run: [IAAnotif] C:\Program Files (x86)\Intel\Intel Matrix Storage Manager\iaanotif.exe [186904 2009-06-04] (Intel Corporation)
HKLM\...\Run: [cAudioFilterAgent] C:\Program Files\Conexant\cAudioFilterAgent\cAudioFilterAgent64.exe [503864 2009-07-19] (Conexant Systems, Inc.)
HKLM\...\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe [1842472 2009-09-17] (Synaptics Incorporated)
HKLM\...\Run: [Acer ePower Management] C:\Program Files\Acer\Acer ePower Management\ePowerTray.exe [818720 2010-02-26] (Acer Incorporated)
HKLM\...\Run: [PLFSetI] C:\Windows\PLFSetI.exe [206208 2010-09-25] ()
HKLM\...\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe [161304 2010-08-25] (Intel Corporation)
HKLM\...\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe [386584 2010-08-25] (Intel Corporation)
HKLM\...\Run: [Persistence] C:\Windows\system32\igfxpers.exe [415256 2010-08-25] (Intel Corporation)
HKLM\...\Run: [CanonSolutionMenu] C:\Program Files (x86)\Canon\SolutionMenu\CNSLMAIN.exe /logon [689488 2008-03-10] (CANON INC.)
HKLM\...\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon [2114376 2008-03-03] (CANON INC.)
HKLM-x32\...\Run: [LManager] C:\Program Files (x86)\Launch Manager\LManager.exe [825864 2009-09-24] (Dritek System Inc.)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [37296 2011-06-07] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [NortonOnlineBackupReminder] "C:\Program Files (x86)\Symantec\Norton Online Backup\Activation\NobuActivation.exe" UNATTENDED [588648 2009-07-24] (Symantec Corporation)
HKLM-x32\...\Run: [BCSSync] "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices [91520 2010-03-13] (Microsoft Corporation)
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [937920 2011-03-29] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [mcui_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey [1675160 2011-11-22] (McAfee, Inc.)
HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [254696 2011-06-09] (Sun Microsystems, Inc.)
HKU\Porstendörfer\...\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2010-04-08] (Google Inc.)
HKU\Porstendörfer\...\Run: [988ED696] C:\Users\Porstendörfer\AppData\Roaming\Rlvageu\6CCD5FC6988ED696CBAB.exe [x]
Winlogon\Notify\igfxcui: igfxdev.dll (Intel Corporation)
Tcpip\Parameters: [DhcpNameServer] 192.168.2.1

==================== Services (Whitelisted) ======

2 BcmSqlStartupSvc; "C:\Program Files (x86)\Microsoft Small Business\Business Contact Manager\BcmSqlStartupSvc.exe" [30312 2008-01-15] (Microsoft Corporation)
2 ePowerSvc; C:\Program Files\Acer\Acer ePower Management\ePowerSvc.exe [841248 2010-02-26] (Acer Incorporated)
2 GREGService; C:\Program Files (x86)\Acer\Registration\GREGsvc.exe [23584 2010-01-08] (Acer Incorporated)
2 IJPLMSVC; C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE [103808 2008-01-22] ()
2 IviRegMgr; "C:\Program Files (x86)\Common Files\InterVideo\RegMgr\iviRegMgr.exe" [112152 2007-01-04] (InterVideo)
2 McAfee SiteAdvisor Service; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [249936 2011-01-27] (McAfee, Inc.)
2 McMPFSvc; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [249936 2011-01-27] (McAfee, Inc.)
2 mcmscsvc; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [249936 2011-01-27] (McAfee, Inc.)
2 McNaiAnn; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [249936 2011-01-27] (McAfee, Inc.)
2 McNASvc; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [249936 2011-01-27] (McAfee, Inc.)
3 McODS; "C:\Program Files\McAfee\VirusScan\mcods.exe" [501768 2011-03-17] (McAfee, Inc.)
2 McProxy; "C:\Program Files\Common Files\McAfee\McSvcHost\McSvHost.exe" /McCoreSvc [249936 2011-01-27] (McAfee, Inc.)
2 McShield; "C:\Program Files\Common Files\McAfee\SystemCore\\mcshield.exe" [199272 2011-10-18] (McAfee, Inc.)
2 mfefire; "C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe" [208536 2011-10-18] (McAfee, Inc.)
2 mfevtp; "C:\Windows\system32\mfevtps.exe" [161168 2011-10-18] (McAfee, Inc.)
3 MozillaMaintenance; C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [129976 2012-04-24] (Mozilla Foundation)
2 NTISchedulerSvc; C:\Program Files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [144640 2010-04-16] (NTI, Inc.)
2 PSI_SVC_2; "C:\Program Files (x86)\Common Files\Protexis\License Service\PsiService_2.exe" [185632 2007-07-24] (Protexis Inc.)
2 RS_Service; C:\Program Files (x86)\Acer\Acer VCM\RS_Service.exe [260640 2010-01-29] (Acer Incorporated)
3 MSSQL$MSSMLBIZ; "c:\Program Files (x86)\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sMSSMLBIZ [x]
4 MSSQLServerADHelper; "c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqladhlp90.exe" [x]
2 SQLBrowser; "c:\Program Files (x86)\Microsoft SQL Server\90\Shared\sqlbrowser.exe" [x]
2 SQLWriter; "c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [x]

========================== Drivers (Whitelisted) =============

3 cfwids; C:\Windows\System32\Drivers\cfwids.sys [65264 2011-10-15] (McAfee, Inc.)
3 mfeapfk; C:\Windows\System32\Drivers\mfeapfk.sys [160280 2011-10-15] (McAfee, Inc.)
3 mfeavfk; C:\Windows\System32\Drivers\mfeavfk.sys [229528 2011-10-15] (McAfee, Inc.)
3 mfefirek; C:\Windows\System32\Drivers\mfefirek.sys [481768 2011-10-15] (McAfee, Inc.)
0 mfehidk; C:\Windows\System32\Drivers\mfehidk.sys [647080 2011-10-15] (McAfee, Inc.)
1 mfenlfk; C:\Windows\System32\Drivers\mfenlfk.sys [75808 2011-10-15] (McAfee, Inc.)
3 mferkdet; C:\Windows\System32\Drivers\mferkdet.sys [100912 2011-10-15] (McAfee, Inc.)
0 mfewfpk; C:\Windows\System32\Drivers\mfewfpk.sys [284648 2011-10-15] (McAfee, Inc.)
3 NTIDrvr; C:\Windows\System32\Drivers\NTIDrvr.sys [18432 2010-04-27] (NTI Corporation)
3 UBHelper; C:\Windows\System32\Drivers\UBHelper.sys [17408 2010-04-27] (NTI Corporation)
3 mfeavfk01; [x]
3 RtsUIR; C:\Windows\System32\DRIVERS\Rts516xIR.sys [x]
3 USBCCID; C:\Windows\System32\DRIVERS\RtsUCcid.sys [x]

========================== NetSvcs (Whitelisted) ===========

============ One Month Created Files and Folders ==============

2012-04-26 15:40 - 2011-02-02 01:41 - 0000000 ____D C:\FRST
2012-04-26 05:24 - 2012-04-25 04:27 - 0000000 ____D C:\_OTL
2012-04-25 12:42 - 2012-04-25 00:15 - 0123710 ____A C:\OTL.Txt
2012-04-25 04:27 - 2011-02-14 01:05 - 0078556 ____A C:\Windows\ntbtlog.txt
2012-04-24 23:20 - 2012-04-25 04:57 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\Rlvageu
2012-04-24 23:20 - 2011-02-08 02:34 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\Realtec
2012-04-24 22:44 - 2012-04-24 22:44 - 0000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2012-04-24 22:44 - 2012-04-12 09:15 - 0000000 ____D C:\Users\All Users\Mozilla
2012-04-24 22:44 - 2012-04-12 09:15 - 0000000 ____D C:\ProgramData\Mozilla
2012-04-15 00:38 - 2012-04-25 03:25 - 0013616 ____A C:\Users\Porstendörfer\Desktop\locked-Inhalt Gefriertruhe.docx.luar
2012-04-12 09:14 - 2009-07-13 17:41 - 5559152 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2012-04-12 09:14 - 2009-07-13 17:16 - 3968368 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2012-04-12 09:14 - 2009-07-13 17:16 - 3913072 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2012-04-12 09:11 - 2009-07-13 17:47 - 0023408 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\fs_rec.sys
2012-04-12 09:11 - 2009-07-13 17:41 - 0220672 ____A (Microsoft Corporation) C:\Windows\System32\wintrust.dll
2012-04-12 09:11 - 2009-07-13 17:38 - 0081408 ____A (Microsoft Corporation) C:\Windows\System32\imagehlp.dll
2012-04-12 09:11 - 2009-07-13 17:33 - 0005120 ____A (Microsoft Corporation) C:\Windows\System32\wmi.dll
2012-04-12 09:11 - 2009-07-13 17:16 - 0172544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wintrust.dll
2012-04-12 09:11 - 2009-07-13 17:14 - 0159232 ____A (Microsoft Corporation) C:\Windows\SysWOW64\imagehlp.dll
2012-04-12 09:11 - 2009-07-13 17:11 - 0005120 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wmi.dll
2012-04-12 02:17 - 2011-02-02 01:41 - 0000000 ____D C:\Users\Porstendörfer\Baumparty
2012-04-11 20:48 - 2009-07-13 17:39 - 9020928 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2012-04-11 20:47 - 2012-02-27 22:39 - 1494016 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2012-04-11 20:47 - 2012-02-27 22:36 - 1638912 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2012-04-11 20:47 - 2012-02-27 21:38 - 1231360 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2012-04-11 20:47 - 2012-02-27 21:35 - 1638912 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2012-04-11 20:47 - 2012-02-27 20:31 - 0097280 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2012-04-11 20:47 - 2012-02-27 19:52 - 0067072 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2012-04-11 20:47 - 2011-10-13 21:31 - 0064512 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2012-04-11 20:47 - 2011-10-13 20:24 - 0048128 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2012-04-11 20:47 - 2010-11-20 05:27 - 1188864 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2012-04-11 20:47 - 2010-11-20 05:26 - 12264448 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2012-04-11 20:47 - 2010-11-20 04:21 - 0981504 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2012-04-11 20:47 - 2010-11-20 04:19 - 10992640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2012-04-11 20:47 - 2010-11-20 04:19 - 0176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2012-04-11 20:47 - 2009-07-13 17:41 - 2453504 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2012-04-11 20:47 - 2009-07-13 17:41 - 0247808 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2012-04-11 20:47 - 2009-07-13 17:41 - 0134144 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2012-04-11 20:47 - 2009-07-13 17:16 - 0132096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2012-04-11 20:47 - 2009-07-13 17:15 - 2073600 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2012-04-11 20:47 - 2009-07-13 17:15 - 0599552 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2012-04-11 20:47 - 2009-07-13 17:14 - 5998080 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2012-04-11 20:47 - 2009-07-13 12:49 - 0702464 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2012-04-04 02:13 - 2012-04-25 03:25 - 14855550 ____A C:\Users\Porstendörfer\Desktop\locked-Firefox Setup 8.0_foxload-de.exe.fotj
2012-03-29 23:03 - 2012-04-25 03:25 - 0053430 ____A C:\Users\Porstendörfer\Desktop\locked-IMG_2746.JPG.ywcm
2012-03-29 23:03 - 2012-04-25 03:25 - 0045139 ____A C:\Users\Porstendörfer\Desktop\locked-IMG_2747.JPG.uare
2012-03-29 04:55 - 2012-04-25 03:20 - 0013727 ____A C:\Users\Porstendörfer\Desktop\locked-ACHTUNG.docx.hvag
2012-03-29 03:42 - 2012-04-25 03:25 - 0610230 ____A C:\Users\Porstendörfer\Desktop\locked-Freistellungsauftrag Anja.pdf.doxj
2012-03-29 03:40 - 2012-04-25 03:25 - 0610247 ____A C:\Users\Porstendörfer\Desktop\locked-Freistellungsauftrag Andreas.pdf.flgu
2012-03-27 11:23 - 2012-04-25 03:26 - 0052634 ____A C:\Users\Porstendörfer\locked-Tagebuch anja florentine porstendörfer 1.docx.zbln

============ 3 Months Modified Files and Folders =============

2012-04-26 15:40 - 2012-04-26 15:40 - 0000000 ____D C:\FRST
2012-04-26 05:24 - 2012-04-26 05:24 - 0000000 ____D C:\_OTL
2012-04-25 14:52 - 2011-02-02 01:41 - 0000000 __SHD C:\Recovery
2012-04-25 12:42 - 2012-04-25 12:42 - 0123710 ____A C:\OTL.Txt
2012-04-25 12:19 - 2011-02-02 01:41 - 0000000 ____D C:\users\Porstendörfer
2012-04-25 04:58 - 2011-04-07 23:32 - 0001832 ____A C:\Users\Public\Desktop\McAfee AntiVirus Plus.lnk
2012-04-25 04:58 - 2010-09-25 04:07 - 1345573 ____A C:\Windows\WindowsUpdate.log
2012-04-25 04:58 - 2009-07-13 20:45 - 0009696 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2012-04-25 04:58 - 2009-07-13 20:45 - 0009696 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2012-04-25 04:57 - 2012-04-24 23:20 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\Realtec
2012-04-25 04:54 - 2011-02-07 12:28 - 0001106 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2012-04-25 04:54 - 2009-07-13 21:08 - 0000006 ___AH C:\Windows\Tasks\SA.DAT
2012-04-25 04:54 - 2009-07-13 20:51 - 0191553 ____A C:\Windows\setupact.log
2012-04-25 04:53 - 2010-09-25 04:04 - 3143311360 __ASH C:\hiberfil.sys
2012-04-25 04:28 - 2012-04-25 04:27 - 0078556 ____A C:\Windows\ntbtlog.txt
2012-04-25 04:17 - 2011-02-07 12:28 - 0001110 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2012-04-25 03:41 - 2010-09-25 13:58 - 0716208 ____A C:\Windows\System32\perfh007.dat
2012-04-25 03:41 - 2010-09-25 13:58 - 0156302 ____A C:\Windows\System32\perfc007.dat
2012-04-25 03:41 - 2009-07-13 21:13 - 1659858 ____A C:\Windows\System32\PerfStringBackup.INI
2012-04-25 03:32 - 2011-03-16 08:00 - 0000000 ____D C:\Users\All Users\CanonIJPLM
2012-04-25 03:32 - 2011-03-16 08:00 - 0000000 ____D C:\ProgramData\CanonIJPLM
2012-04-25 03:29 - 2011-03-16 08:00 - 0000000 ___HD C:\Users\All Users\CanonIJMyPrinter
2012-04-25 03:29 - 2011-03-16 08:00 - 0000000 ___HD C:\ProgramData\CanonIJMyPrinter
2012-04-25 03:26 - 2012-03-27 11:23 - 0052634 ____A C:\Users\Porstendörfer\locked-Tagebuch anja florentine porstendörfer 1.docx.zbln
2012-04-25 03:26 - 2011-06-21 05:16 - 0013795 ____A C:\Users\Porstendörfer\locked-Krankenversicherung Andreas.docx.pzhs
2012-04-25 03:26 - 2011-06-20 03:51 - 0013820 ____A C:\Users\Porstendörfer\locked-Kündigung Riester Rente.docx.qykp
2012-04-25 03:26 - 2010-04-08 07:21 - 0001024 ____A C:\Users\Public\Documents\locked-NTIBUN5.dll.jndx
2012-04-25 03:26 - 2010-04-08 07:18 - 0001024 ____A C:\Users\Public\Documents\locked-NTILiveUpdate.dll.wpky
2012-04-25 03:26 - 2009-07-13 19:20 - 0000000 __RHD C:\Users\Public\Libraries
2012-04-25 03:25 - 2012-04-15 00:38 - 0013616 ____A C:\Users\Porstendörfer\Desktop\locked-Inhalt Gefriertruhe.docx.luar
2012-04-25 03:25 - 2012-04-04 02:13 - 14855550 ____A C:\Users\Porstendörfer\Desktop\locked-Firefox Setup 8.0_foxload-de.exe.fotj
2012-04-25 03:25 - 2012-03-29 23:03 - 0053430 ____A C:\Users\Porstendörfer\Desktop\locked-IMG_2746.JPG.ywcm
2012-04-25 03:25 - 2012-03-29 23:03 - 0045139 ____A C:\Users\Porstendörfer\Desktop\locked-IMG_2747.JPG.uare
2012-04-25 03:25 - 2012-03-29 03:42 - 0610230 ____A C:\Users\Porstendörfer\Desktop\locked-Freistellungsauftrag Anja.pdf.doxj
2012-04-25 03:25 - 2012-03-29 03:40 - 0610247 ____A C:\Users\Porstendörfer\Desktop\locked-Freistellungsauftrag Andreas.pdf.flgu
2012-04-25 03:25 - 2012-03-23 04:29 - 8343987 ____A C:\Users\Porstendörfer\Desktop\locked-Glasperlenspiel - Ich bin ich (Single Version).mp3.fqxn
2012-04-25 03:25 - 2012-03-19 06:16 - 1998387 ____A C:\Users\Porstendörfer\Desktop\locked-DSC03189.JPG.aywf
2012-04-25 03:25 - 2012-03-19 06:15 - 2541738 ____A C:\Users\Porstendörfer\Desktop\locked-DSC03186.JPG.zlro
2012-04-25 03:25 - 2012-03-19 06:15 - 2233295 ____A C:\Users\Porstendörfer\Desktop\locked-DSC03188.JPG.wfpc
2012-04-25 03:25 - 2012-03-18 10:47 - 0500901 ____A C:\Users\Porstendörfer\Desktop\locked-zollinhaltserklaerungcn22.pdf.lzsh
2012-04-25 03:25 - 2012-03-12 08:57 - 25225572 ____A C:\Users\Porstendörfer\Desktop\locked-DELISprint_Setup.exe.dxfk
2012-04-25 03:25 - 2012-03-03 09:58 - 3458052 ____A C:\Users\Porstendörfer\Desktop\locked-mda2011.zip.ymyk
2012-04-25 03:25 - 2012-02-08 00:03 - 0711320 ____A C:\Users\Porstendörfer\Desktop\locked-PandaCloud151Antivirus.exe.ywcm
2012-04-25 03:25 - 2012-02-05 06:07 - 0000000 ____D C:\Users\Porstendörfer\Desktop\Steuer2011
2012-04-25 03:25 - 2012-01-30 05:09 - 0017588 ____A C:\Users\Porstendörfer\Desktop\locked-irische segen.docx.plhz
2012-04-25 03:25 - 2012-01-27 04:51 - 0015537 ____A C:\Users\Porstendörfer\Desktop\locked-Begründung für Mühlbach.docx.rsbn
2012-04-25 03:25 - 2012-01-19 23:01 - 0170638 ____A C:\Users\Porstendörfer\Desktop\locked-Zwei-Wege-Ventil Regulus DBV-1 deutsch(Thermische Ablaufsicherung).pdf.nzbs
2012-04-25 03:25 - 2012-01-12 05:52 - 0257942 ____A C:\Users\Porstendörfer\Desktop\locked-VKSV_Antrag_1326376314973.pdf.tnfj
2012-04-25 03:25 - 2012-01-04 05:42 - 0511453 ____A C:\Users\Porstendörfer\Desktop\locked-Antrag Elternzeit Bettina.pdf.mywf
2012-04-25 03:25 - 2012-01-04 05:41 - 0960954 ____A C:\Users\Porstendörfer\Desktop\locked-Geburtsurkunde Anja.pdf.hzis
2012-04-25 03:25 - 2012-01-04 05:01 - 1671638 ____A C:\Users\Porstendörfer\Desktop\locked-Antrag Anja Nürnberger.pdf.gvlb
2012-04-25 03:25 - 2012-01-04 04:35 - 0054411 ____A C:\Users\Porstendörfer\Desktop\locked-Antrag auf Elternzeit_kurz.rtf.yfpc
2012-04-25 03:25 - 2012-01-03 07:50 - 0071849 ____A C:\Users\Porstendörfer\Desktop\locked-verzichtserklärung.pdf.ndjt
2012-04-25 03:25 - 2011-12-31 11:47 - 1654741 ____A C:\Users\Porstendörfer\Desktop\locked-WertstoffkalenderDruckversion2012.pdf.tyxo
2012-04-25 03:25 - 2011-11-26 10:35 - 2913411 ____A C:\Users\Porstendörfer\Documents\locked-Omas Lebkuchen.docx.tqfn
2012-04-25 03:25 - 2011-11-19 05:35 - 0013301 ____A C:\Users\Porstendörfer\Documents\locked-Kündigung Janitos Haftpflicht.docx.fkyp
2012-04-25 03:25 - 2011-11-19 05:33 - 0013301 ____A C:\Users\Porstendörfer\Documents\locked-Kündigung Janitos (Hund).docx.hjto
2012-04-25 03:25 - 2011-11-19 05:30 - 0013224 ____A C:\Users\Porstendörfer\Documents\locked-Kündigung VHV (Pferd).docx.mykc
2012-04-25 03:25 - 2011-11-19 05:28 - 0013194 ____A C:\Users\Porstendörfer\Documents\locked-Kündigung Degenia (Pferd).docx.dtoq
2012-04-25 03:25 - 2011-11-16 07:51 - 0013231 ____A C:\Users\Porstendörfer\Documents\locked-Kündigung DSL via Satellit.docx.zypy
2012-04-25 03:25 - 2011-11-01 07:05 - 14232904 ____A C:\Users\Porstendörfer\Desktop\locked-GMX_MFF7_Setup.exe.dofi
2012-04-25 03:25 - 2011-10-27 01:21 - 0000000 ____D C:\Users\Porstendörfer\Desktop\Windeln
2012-04-25 03:25 - 2011-08-22 07:24 - 0013194 ____A C:\Users\Porstendörfer\Documents\locked-Widerruf der Abbuchungserlaubnis BU.docx.cmfk
2012-04-25 03:25 - 2011-08-06 23:22 - 0000000 ____D C:\Users\Porstendörfer\Desktop\Schnittmuster
2012-04-25 03:25 - 2011-07-02 07:30 - 0000000 ____D C:\Users\Porstendörfer\Documents\restore
2012-04-25 03:25 - 2011-06-07 23:30 - 0024064 ____A C:\Users\Porstendörfer\Documents\locked-Andreas Porstendörfer Lebensbuch.doc.rlvs
2012-04-25 03:25 - 2011-06-06 07:58 - 0874784 ____A C:\Users\Porstendörfer\Desktop\locked-xpiinstall.exe.lhzi
2012-04-25 03:25 - 2011-04-10 22:31 - 0000000 ____D C:\Users\Porstendörfer\Desktop\Konto
2012-04-25 03:25 - 2011-04-10 22:30 - 0000000 ____D C:\Users\Porstendörfer\Desktop\Auto
2012-04-25 03:25 - 2011-04-06 00:05 - 0013399 ____A C:\Users\Porstendörfer\Documents\locked-nünberger kv.docx.xdtb
2012-04-25 03:25 - 2011-03-28 04:00 - 0000000 ____D C:\Users\Porstendörfer\Desktop\haitsch
2012-04-25 03:25 - 2011-02-20 20:52 - 2796180 ____A C:\Users\Porstendörfer\Desktop\locked-IMG_1534.JPG.yykp
2012-04-25 03:25 - 2011-02-08 02:11 - 0000000 ____D C:\Users\Porstendörfer\Documents\MyHeritage
2012-04-25 03:25 - 2011-02-07 12:28 - 0000000 ____D C:\Users\Porstendörfer\Downloads\91f2725669875e2f607f
2012-04-25 03:25 - 2011-02-04 04:22 - 5585240 ____A C:\Users\Porstendörfer\Desktop\locked-NortonOnlineBackup.exe.ywym
2012-04-25 03:24 - 2012-01-03 07:49 - 0034626 ____A C:\Users\Porstendörfer\Desktop\locked-anmeldung anja nürnberger.pdf.szni
2012-04-25 03:24 - 2011-03-27 06:35 - 0000000 ____D C:\Users\Porstendörfer\Desktop\Andreas
2012-04-25 03:20 - 2012-04-12 02:17 - 0000000 ____D C:\Users\Porstendörfer\Baumparty
2012-04-25 03:20 - 2012-03-29 04:55 - 0013727 ____A C:\Users\Porstendörfer\Desktop\locked-ACHTUNG.docx.hvag
2012-04-25 03:20 - 2012-01-10 11:21 - 0095734 ____A C:\Users\Porstendörfer\Desktop\locked-697E5672.pdf.tofq
2012-04-25 03:20 - 2011-08-18 21:56 - 1641606 ____A C:\Users\Porstendörfer\Desktop\locked-05492_KUP_BUD_EMS_Handbuch_L.121878.pdf.geug
2012-04-25 03:20 - 2011-02-12 05:07 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\vlc
2012-04-25 00:22 - 2011-05-03 09:13 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\Ahnenblatt
2012-04-25 00:21 - 2011-04-12 03:47 - 0001164 ____A C:\Users\Porstendörfer\AppData\Local\locked-crc32list11.txt.kojd
2012-04-25 00:21 - 2011-04-12 03:47 - 0000000 ____D C:\Users\Porstendörfer\AppData\Local\Buhl
2012-04-25 00:21 - 2011-03-05 00:26 - 0000000 ____D C:\Users\Porstendörfer\AppData\Local\Microsoft Help
2012-04-25 00:20 - 2011-06-26 07:35 - 0000000 ____D C:\Users\All Users\hps
2012-04-25 00:20 - 2011-06-26 07:35 - 0000000 ____D C:\ProgramData\hps
2012-04-25 00:19 - 2011-03-16 08:02 - 0000000 ___HD C:\Users\All Users\CanonIJSolutionMenu
2012-04-25 00:19 - 2011-03-16 08:02 - 0000000 ___HD C:\ProgramData\CanonIJSolutionMenu
2012-04-25 00:15 - 2011-02-03 01:26 - 0000000 ____D C:\Gigaset_WLAN11
2012-04-25 00:15 - 2010-09-25 04:12 - 0000000 ___AD C:\book
2012-04-25 00:15 - 2010-04-08 07:11 - 0000000 ___HD C:\OEM
2012-04-24 23:20 - 2012-04-24 23:20 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\Rlvageu
2012-04-24 22:44 - 2012-04-24 22:44 - 0000000 ____D C:\Users\All Users\Mozilla
2012-04-24 22:44 - 2012-04-24 22:44 - 0000000 ____D C:\ProgramData\Mozilla
2012-04-24 22:44 - 2012-04-24 22:44 - 0000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2012-04-24 22:44 - 2011-02-14 01:05 - 0000000 ____D C:\Program Files (x86)\Mozilla Firefox
2012-04-12 09:15 - 2010-04-08 07:01 - 0000000 ____D C:\Users\All Users\Microsoft Help
2012-04-12 09:15 - 2010-04-08 07:01 - 0000000 ____D C:\ProgramData\Microsoft Help
2012-04-12 09:15 - 2009-07-13 18:34 - 0000478 ____A C:\Windows\win.ini
2012-04-12 09:11 - 2011-03-05 12:18 - 57249312 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2012-04-04 02:14 - 2011-02-14 01:05 - 0001142 ____A C:\Users\Public\Desktop\Mozilla Firefox.lnk
2012-04-03 23:59 - 2011-02-02 01:45 - 0000000 ____D C:\Users\Porstendörfer\AppData\Local\Google
2012-03-25 04:33 - 2011-03-16 08:02 - 0000000 ____D C:\Users\All Users\CanonIJ
2012-03-25 04:33 - 2011-03-16 08:02 - 0000000 ____D C:\ProgramData\CanonIJ
2012-03-15 00:02 - 2009-07-13 20:45 - 0417840 ____A C:\Windows\System32\FNTCACHE.DAT
2012-03-08 22:40 - 2012-01-05 02:53 - 0044729 ____H C:\Users\Porstendörfer\~WRL0004.tmp
2012-03-05 22:53 - 2012-04-12 09:14 - 5559152 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2012-03-05 21:59 - 2012-04-12 09:14 - 3968368 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntkrnlpa.exe
2012-03-05 21:59 - 2012-04-12 09:14 - 3913072 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ntoskrnl.exe
2012-03-03 11:56 - 2011-06-26 07:35 - 0000000 ____D C:\Users\All Users\tmp
2012-03-03 11:56 - 2011-06-26 07:35 - 0000000 ____D C:\ProgramData\tmp
2012-03-03 09:58 - 2012-03-03 09:58 - 0000943 ____A C:\Users\Public\Desktop\MD Adressbuch 2011.lnk
2012-03-03 09:58 - 2012-03-03 09:58 - 0000000 ____D C:\Users\All Users\sgs
2012-03-03 09:58 - 2012-03-03 09:58 - 0000000 ____D C:\ProgramData\sgs
2012-03-03 09:58 - 2012-03-03 09:58 - 0000000 ____D C:\Program Files (x86)\mda
2012-03-02 01:55 - 2012-03-02 01:55 - 0000000 ____D C:\Users\Porstendörfer\Documents\InterVideo
2012-03-02 01:54 - 2012-03-02 01:54 - 0000952 __ASH C:\Users\All Users\KGyGaAvL.sys
2012-03-02 01:54 - 2012-03-02 01:54 - 0000952 __ASH C:\ProgramData\KGyGaAvL.sys
2012-03-02 01:54 - 2012-03-02 01:54 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\InterVideo
2012-03-02 01:54 - 2012-03-02 01:54 - 0000000 ____D C:\Users\Porstendörfer\AppData\Roaming\Corel
2012-03-02 01:54 - 2010-04-08 07:23 - 0000000 ____D C:\Users\All Users\Corel
2012-03-02 01:54 - 2010-04-08 07:23 - 0000000 ____D C:\ProgramData\Corel
2012-03-02 01:53 - 2009-07-13 23:44 - 0000000 ___RD C:\Users\Public\Recorded TV
2012-02-29 22:46 - 2012-04-12 09:11 - 0023408 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\fs_rec.sys
2012-02-29 22:38 - 2012-04-12 09:11 - 0220672 ____A (Microsoft Corporation) C:\Windows\System32\wintrust.dll
2012-02-29 22:33 - 2012-04-12 09:11 - 0081408 ____A (Microsoft Corporation) C:\Windows\System32\imagehlp.dll
2012-02-29 22:28 - 2012-04-12 09:11 - 0005120 ____A (Microsoft Corporation) C:\Windows\System32\wmi.dll
2012-02-29 21:37 - 2012-04-12 09:11 - 0172544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wintrust.dll
2012-02-29 21:33 - 2012-04-12 09:11 - 0159232 ____A (Microsoft Corporation) C:\Windows\SysWOW64\imagehlp.dll
2012-02-29 21:29 - 2012-04-12 09:11 - 0005120 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wmi.dll
2012-02-27 22:39 - 2012-04-11 20:47 - 1494016 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2012-02-27 22:39 - 2012-04-11 20:47 - 1188864 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2012-02-27 22:39 - 2012-04-11 20:47 - 0134144 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2012-02-27 22:36 - 2012-04-11 20:48 - 9020928 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2012-02-27 22:36 - 2012-04-11 20:47 - 0702464 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2012-02-27 22:36 - 2012-04-11 20:47 - 0097280 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2012-02-27 22:35 - 2012-04-11 20:47 - 2453504 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2012-02-27 22:35 - 2012-04-11 20:47 - 12264448 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2012-02-27 22:35 - 2012-04-11 20:47 - 0247808 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2012-02-27 22:35 - 2012-04-11 20:47 - 0064512 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2012-02-27 21:38 - 2012-04-11 20:47 - 1231360 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2012-02-27 21:38 - 2012-04-11 20:47 - 0981504 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2012-02-27 21:38 - 2012-04-11 20:47 - 0132096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2012-02-27 21:35 - 2012-04-11 20:47 - 5998080 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2012-02-27 21:35 - 2012-04-11 20:47 - 0599552 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2012-02-27 21:35 - 2012-04-11 20:47 - 0067072 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2012-02-27 21:34 - 2012-04-11 20:47 - 2073600 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2012-02-27 21:34 - 2012-04-11 20:47 - 10992640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2012-02-27 21:34 - 2012-04-11 20:47 - 0176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2012-02-27 21:34 - 2012-04-11 20:47 - 0048128 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2012-02-27 20:31 - 2012-04-11 20:47 - 1638912 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2012-02-27 19:52 - 2012-04-11 20:47 - 1638912 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2012-02-26 01:13 - 2010-09-25 04:04 - 0120502 ____A C:\Windows\PFRO.log
2012-02-24 04:44 - 2011-04-12 03:47 - 0000810 ____A C:\Windows\wiso.ini
2012-02-23 10:15 - 2012-02-23 10:15 - 0000000 ____D C:\Users\Porstendörfer\restore
2012-02-23 09:52 - 2012-01-05 02:53 - 0036042 ____H C:\Users\Porstendörfer\~WRL1526.tmp
2012-02-23 09:11 - 2012-02-23 09:11 - 0001149 ____A C:\Users\Public\Desktop\CEWE FOTOSCHAU.lnk
2012-02-23 09:11 - 2012-02-23 09:11 - 0001134 ____A C:\Users\Public\Desktop\dm-Fotowelt.lnk
2012-02-23 09:11 - 2011-07-02 07:51 - 0000000 ____D C:\Program Files (x86)\CEWE COLOR
2012-02-23 08:58 - 2012-02-23 08:58 - 0000000 ____D C:\Program Files (x86)\dm
2012-02-18 01:37 - 2011-02-02 01:44 - 0000174 ___SH C:\Users\Porstendörfer\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
2012-02-18 01:35 - 2010-04-08 07:10 - 0000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2012-02-16 22:38 - 2012-03-13 21:43 - 1031680 ____A (Microsoft Corporation) C:\Windows\System32\rdpcore.dll
2012-02-16 21:34 - 2012-03-13 21:43 - 0826880 ____A (Microsoft Corporation) C:\Windows\SysWOW64\rdpcore.dll
2012-02-16 20:58 - 2012-03-13 21:43 - 0210944 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\rdpwd.sys
2012-02-16 20:57 - 2012-03-13 21:43 - 0023552 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tdtcp.sys
2012-02-15 03:59 - 2011-04-12 03:44 - 0000000 ____D C:\Users\All Users\Buhl Data Service GmbH
2012-02-15 03:59 - 2011-04-12 03:44 - 0000000 ____D C:\ProgramData\Buhl Data Service GmbH
2012-02-14 02:09 - 2012-02-14 02:09 - 1070352 ____A (Microsoft Corporation) C:\Windows\SysWOW64\MSCOMCTL.OCX
2012-02-14 01:13 - 2012-01-05 02:53 - 0037847 ____H C:\Users\Porstendörfer\~WRL0005.tmp
2012-02-09 22:36 - 2012-03-13 21:44 - 1544192 ____A (Microsoft Corporation) C:\Windows\System32\DWrite.dll
2012-02-09 21:38 - 2012-03-13 21:44 - 1077248 ____A (Microsoft Corporation) C:\Windows\SysWOW64\DWrite.dll
2012-02-05 05:07 - 2011-04-12 04:08 - 0000000 ____D C:\Users\Porstendörfer\Documents\tax
2012-02-05 04:58 - 2012-02-05 04:58 - 0002220 ____A C:\Users\Public\Desktop\t@x 2012.lnk
2012-02-05 04:58 - 2011-04-12 03:47 - 0002245 ____A C:\Users\All Users\Start Menu\Programs\Startup\t@x aktuell.lnk
2012-02-05 04:55 - 2011-04-12 03:44 - 0000000 ____D C:\Program Files (x86)\Buhl finance
2012-02-05 04:55 - 2010-04-08 06:31 - 0000000 ___HD C:\Program Files (x86)\InstallShield Installation Information
2012-02-04 02:00 - 2012-01-05 02:53 - 0035740 ____H C:\Users\Porstendörfer\~WRL2516.tmp
2012-02-02 20:34 - 2012-03-13 21:44 - 3145728 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2012-01-30 05:09 - 2012-01-30 05:09 - 0017380 ____H C:\Users\Porstendörfer\Desktop\~WRL2831.tmp
2012-01-30 05:09 - 2012-01-30 05:09 - 0000162 ___AH C:\Users\Porstendörfer\Desktop\~$ische segen.docx
2012-01-29 02:15 - 2009-07-13 19:20 - 0000000 ____D C:\Windows\System32\NDF

========================= Known DLLs (Whitelisted) ============


========================= Bamital & volsnap Check ============

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

========================= Memory info ======================

Percentage of memory in use: 18%
Total physical RAM: 3996.93 MB
Available physical RAM: 3266.85 MB
Total Pagefile: 3995.08 MB
Available Pagefile: 3251.28 MB
Total Virtual: 8192 MB
Available Virtual: 8191.9 MB

======================= Partitions =========================

1 Drive c: (Acer) (Fixed) (Total:284.99 GB) (Free:216.4 GB) NTFS
2 Drive e: (PQSERVICE) (Fixed) (Total:13 GB) (Free:1.63 GB) NTFS ==>[System with boot components (obtained from reading drive)]
3 Drive f: (ReatogoPE) (CDROM) (Total:0.43 GB) (Free:0 GB) CDFS
4 Drive g: () (Removable) (Total:0.96 GB) (Free:0.92 GB) FAT32
5 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
6 Drive y: (SYSTEM RESERVED) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

Datentr„ger ### Status Gr”áe Frei Dyn GPT
--------------- ------------- ------- ------- --- ---
Datentr„ger 0 Online 298 GB 0 B
Datentr„ger 1 Online 980 MB 0 B

Partitions of Disk 0:
===============

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Wiederherstellun 13 GB 1024 KB
Partition 2 Prim„r 100 MB 13 GB
Partition 3 Prim„r 284 GB 13 GB

======================================================================================================

Disk: 0
Partition 1
Typ : 27
Versteckt: Ja
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 E PQSERVICE NTFS Partition 13 GB Fehlerfre Versteck

======================================================================================================

Disk: 0
Partition 2
Typ : 07
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 Y SYSTEM RESE NTFS Partition 100 MB Fehlerfre

======================================================================================================

Disk: 0
Partition 3
Typ : 07
Versteckt: Nein
Aktiv : Nein

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 C Acer NTFS Partition 284 GB Fehlerfre

======================================================================================================

Partitions of Disk 1:
===============

Partition ### Typ GrӇe Offset
------------- ---------------- ------- -------
Partition 1 Prim„r 979 MB 36 KB

======================================================================================================

Disk: 1
Partition 1
Typ : 0B
Versteckt: Nein
Aktiv : Ja

Volume ### Bst Bezeichnung DS Typ GrӇe Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 4 G FAT32 Wechselmed 979 MB Fehlerfre

======================================================================================================

==========================================================

Last Boot: 2012-04-24 05:22

======================= End Of Log ==========================

ich hab den verseuchten rechner gescaned und ihn jetzt erst mal so gelassen, nix weiter gebootet etc. sag mir bitte vor dem nächsten schritt ob ich den wieder neu starten soll.
sorry für die extra umstände!

Am sauberen Rechner:

Drücke bitte die + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

HKU\Porstendörfer\...\Run: [988ED696] C:\Users\Porstendörfer\AppData\Roaming\Rlvageu\6CCD5FC6988ED696CBAB.exe [x]
3 mfeavfk01; [x]
C:\Users\Porstendörfer\AppData\Roaming\Rlvageu
C:\Users\Porstendörfer\AppData\Roaming\Realtec
         

Speichere diese bitte als Fixlist.txt auf deinem USB Stick.

• Starte deinen verseuchten Rechner erneut in die Reparaturoptionen
• Starte nun die FRST64.exe erneut und klicke den Fix Button.

Das Tool erstellt eine Fixlog.txt auf deinem USB Stick. Poste den Inhalt bitte hier.

Kein Ding, wir konnten das ja klären! ^^