ukash Trojaner Bildschirm gesperrt

middlfrangg · 17.05.2012, 17:07

Jetz hats mich auch mal erwischt.
Gestern hatte ich 2 Mail mit Rechnungen im Anhang in meinem Postfach.
Leider habe ich Doofi eine versucht zu öffnen. Ging aber nicht, bin dann drauf gekommen, daß das nur SPAM sein kann und habe die beiden in den SPAM ordner geschoben. Anschließend war noch ca 2 Stunden im Netz.

Heute Früh kam sofort nach dem Benutzterkonto Fenster der schwarze Bildschirm mit dem Aufforderungsfenster daß ich 100@€ zahlen solle um mein Windows upzudaten weil ich verbotene Pornooseiten angeschaut hätte.

Ich habe einen neues Benutzerkonto angelegt und mein AVAST Anti Vir laufen lassen.
Hat aber nichts gebracht.

Nach längerem Suchen bin ich auf das Trojaner Board gestoßen. Find ich Klasse, daß es sowas noch gibt.!!

Ich habe die Anleitungen hoffentlich richtig befolgt und lade die erstellten Dateien hoch.

Eine Frage habe ich noch: wie kann man gegen solche A....Löcher vorgehen?
Gruß, und vorab schon vielen Dank, sagt: middlfrangg

kira · 18.05.2012, 07:24

Hallo und Herzlich Willkommen!

Bevor wir unsere Zusammenarbeit beginnen, [Bitte Vollständig lesen]:

Zitat:

"Fernbehandlungen/Fernhilfe" und die damit verbundenen Haftungsrisken:
- da die Fehlerprüfung und Handlung werden über große Entfernungen durchgeführt, besteht keine Haftung unsererseits für die daraus entstehenden Folgen.
- also, jede Haftung für die daraus entstandene Schäden wird ausgeschlossen, ANWEISUNGEN UND DEREN BEFOLGUNG, ERFOLGT AUF DEINE EIGENE VERANTWORTUNG!
Charakteristische Merkmale/Profilinformationen:
- aus der verwendeten Loglisten oder Logdateien - wie z.B. deinen Realnamen, Seriennummer in Programm etc)- kannst Du durch [X] oder Sternchen (*) ersetzen
Die Systemprüfung und Bereinigung:
- kann einige Zeit in Anspruch nehmen (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst
Ich empfehle Dir die Anweisungen erst einmal komplett durchzulesen, bevor du es anwendest, weil wenn du etwas falsch machst, kann es wirklich gefährlich werden. Wenn du meinen Anweisungen Schritt für Schritt folgst, kann eigentlich nichts schief gehen.
Innerhalb der Betreuungszeit:
- ohne Abspräche bitte nicht auf eigene Faust handeln!- bei Problemen nachfragen.
Die Reihenfolge:
- genau so wie beschrieben bitte einhalten, nicht selbst die Reihenfolge wählen!
GECRACKTE SOFTWARE werden hier nicht geduldet!!!!
Ansonsten unsere Forumsregeln:
- Bitte erst lesen, dann posten!-> Für alle Hilfesuchenden! Was muss ich vor der Eröffnung eines Themas beachten?

Alle Logfile mit einem vBCode Tag eingefügen, das bietet hier eine gute Übersicht, erleichtert mir die Arbeit! Falls das Logfile zu groß, teile es in mehrere Teile auf.

Sobald Du diesen Einführungstext gelesen hast, kannst Du beginnen

► Erster Teil des 3-teiligen Verfahren, werden wir dein System auf Viren untersuchen, bzw nach einem anderen Verursacher suchen:
Für Vista und Win7:
Wichtig: Alle Befehle bitte als Administrator ausführen! rechte Maustaste auf die Eingabeaufforderung und "als Administrator ausführen" auswählen
Auf der angewählten Anwendung einen Rechtsklick (rechte Maustaste) und "Als Administrator ausführen" wählen!

1.
Lade Dir Malwarebytes Anti-Malware Lade Dir Malwarebytes Anti-Malware → von hier herunter

Installieren und per Doppelklick starten.
Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
"Komplett Scan durchführen" wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
Alle Funde - falls MBAM meldet in C:\System Volume Information - den Haken bitte entfernen - markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Anleitung

2.
Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Doppelklick auf die OTL.exe
Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
"Scanne alle Benutzer" bitte anhaken
Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
Unter Extra Registry, wähle bitte Use SafeList
Klicke nun auf Run Scan links oben
Wenn der Scan beendet wurde werden 2 Logfiles erstellt - OTL.txt und Extras.txt
Poste die Logfiles in Code-Tags hier in den Thread.

3.
Um festzustellen, ob veraltete oder schädliche Software unter Programme installiert sind, ich würde gerne noch all deine installierten Programme sehen:

Download den CCleaner herunter
Software-Lizenzvereinbarung lesen, falls irgendeine Toolbar angeboten wird, bitte abwählen!-> starten -> Falls nötig, auf "Deutsch" einstellen.
starten-> klick auf `Extras` (um auf deinem System installierte Software zu anzeigen)-> dann auf `Als Textdatei speichern...`
ein Textdatei wird automatisch erstellt, poste auch dieses Logfile (also die Liste alle installierten Programme...eine Textdatei)

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du (also am Anfang des Logfiles):[code]
hier kommt dein Logfile rein - z.B OTL-Logfile o. sonstiges
→ dahinter - also am Ende der Logdatei: [/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
kira

middlfrangg · 18.05.2012, 20:10

Hallo Kira,Vielen Dank erst mal für ihre schnelle Unterstützung ,
Ich hoffe, daß ich alles richtig gemacht habe.

Hier kommt das AntiMalWare Lofile

Code:

ATTFilter

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.05.18.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
ich :: CHEF-PC [Administrator]

18.05.2012 19:43:59
mbam-log-2012-05-18 (19-43-59).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 444893
Laufzeit: 46 Minute(n), 38 Sekunde(n)

Infizierte Speicherprozesse: 1
C:\Windows\kmsem\KMService.exe (RiskWare.Tool.CK) -> 1336 -> Löschen bei Neustart.

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 1
C:\ProgramData\WinDefender (Rogue.WinDefender) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateien: 6
C:\Windows\kmsem\KMService.exe (RiskWare.Tool.CK) -> Löschen bei Neustart.
C:\Users\chef\AppData\Local\Temp\jucsrdrktp.pre (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\chef\AppData\Local\Temp\bpafwzxmsd.pre (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\chef\AppData\Roaming\Nzejsm\49152A946C79EF5A20D7.exe (Trojan.Agent.H) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\chef\Downloads\Downloads Programme\SoftonicDownloader_fuer_excel-kalender-vorlage.exe (PUP.BundleOffer.Downloader.S) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Users\chef\AppData\Roaming\data.dat (Stolen.Data) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

und hier das OTL log File

Code:

ATTFilter

OTL logfile created on: 18.05.2012 20:48:40 - Run 1
OTL by OldTimer - Version 3.2.43.0     Folder = C:\Users\ich\Desktop
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,44 Gb Total Physical Memory | 2,19 Gb Available Physical Memory | 63,73% Memory free
6,87 Gb Paging File | 5,49 Gb Available in Paging File | 79,90% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 186,21 Gb Total Space | 114,00 Gb Free Space | 61,22% Space Free | Partition Type: NTFS
 
Computer Name: CHEF-PC | User Name: ich | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Users\ich\Desktop\OTL.exe (OldTimer Tools)
PRC - C:\Windows\System32\Macromed\Flash\FlashUtil32_11_2_202_235_ActiveX.exe (Adobe Systems Incorporated)
PRC - C:\Programme\Malwarebytes' Anti-Malware\mbam.exe (Malwarebytes Corporation)
PRC - C:\Programme\Alwil Software\Avast5\AvastUI.exe (AVAST Software)
PRC - C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
PRC - C:\Programme\Alwil Software\Avast5\afwServ.exe (AVAST Software)
PRC - C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
PRC - C:\Windows\kmsem\KMService.exe ()
PRC - C:\Windows\System32\srvany.exe ()
PRC - C:\Programme\RapidSolution\Audials 9\VCDWriter\32\VCDAudioService.exe (RapidSolution Software AG)
PRC - C:\Windows\System32\atieclxx.exe (AMD)
PRC - C:\Windows\System32\atiesrxx.exe (AMD)
PRC - C:\Windows\System32\conhost.exe (Microsoft Corporation)
PRC - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
PRC - C:\Windows\explorer.exe (Microsoft Corporation)
PRC - C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
PRC - C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
PRC - C:\Programme\Common Files\microsoft shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\Programme\Common Files\microsoft shared\OFFICE14\Cultures\OFFICE.ODF ()
 
 
========== Win32 Services (SafeList) ==========
 
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (avast! Antivirus) -- C:\Programme\Alwil Software\Avast5\AvastSvc.exe (AVAST Software)
SRV - (avast! Firewall) -- C:\Programme\Alwil Software\Avast5\afwServ.exe (AVAST Software)
SRV - (AdobeARMservice) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe (Adobe Systems Incorporated)
SRV - (KMService) -- C:\Windows\System32\srvany.exe ()
SRV - (Virtual CDAudio Service) -- C:\Programme\RapidSolution\Audials 9\VCDWriter\32\VCDAudioService.exe (RapidSolution Software AG)
SRV - (AMD External Events Utility) -- C:\Windows\System32\atiesrxx.exe (AMD)
SRV - (Microsoft SharePoint Workspace Audit Service) -- C:\Program Files\Microsoft Office\Office14\GROOVE.EXE (Microsoft Corporation)
SRV - (WMPNetworkSvc) -- C:\Programme\Windows Media Player\wmpnetwk.exe (Microsoft Corporation)
SRV - (WatAdminSvc) -- C:\Windows\System32\Wat\WatAdminSvc.exe (Microsoft Corporation)
SRV - (osppsvc) -- C:\Programme\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (VMCService) -- C:\Programme\Vodafone\Vodafone Mobile Connect\Bin\VMCService.exe (Vodafone)
SRV - (StorSvc) -- C:\Windows\System32\StorSvc.dll (Microsoft Corporation)
SRV - (SensrSvc) -- C:\Windows\System32\sensrsvc.dll (Microsoft Corporation)
SRV - (PeerDistSvc) -- C:\Windows\System32\PeerDistSvc.dll (Microsoft Corporation)
SRV - (WinDefend) -- C:\Programme\Windows Defender\MpSvc.dll (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Common Files\microsoft shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (StarOpen) --  File not found
DRV - (cpuz132) -- C:\Users\chef\AppData\Local\Temp\cpuz132\cpuz132_x32.sys File not found
DRV - (nmklet) -- C:\Windows\System32\drivers\hfpqm.sys ()
DRV - (MBAMSwissArmy) -- C:\Windows\System32\drivers\mbamswissarmy.sys (Malwarebytes Corporation)
DRV - (aswFW) -- C:\Windows\System32\drivers\aswFW.sys (AVAST Software)
DRV - (aswSnx) -- C:\Windows\System32\drivers\aswSnx.sys (AVAST Software)
DRV - (aswSP) -- C:\Windows\System32\drivers\aswSP.sys (AVAST Software)
DRV - (aswNdis2) -- C:\Windows\System32\drivers\aswNdis2.sys (AVAST Software)
DRV - (aswKbd) -- C:\Windows\System32\drivers\aswKbd.sys (AVAST Software)
DRV - (aswRdr) -- C:\Windows\System32\drivers\aswRdr2.sys (AVAST Software)
DRV - (aswTdi) -- C:\Windows\System32\drivers\aswTdi.sys (AVAST Software)
DRV - (aswMonFlt) -- C:\Windows\System32\drivers\aswMonFlt.sys (AVAST Software)
DRV - (aswFsBlk) -- C:\Windows\System32\drivers\aswFsBlk.sys (AVAST Software)
DRV - (tbhsd) -- C:\Windows\System32\drivers\tbhsd.sys (RapidSolution Software AG)
DRV - (rsvcdwdr) -- C:\Windows\System32\drivers\rsvcdwdr.sys (RapidSolution Software AG)
DRV - (RRNetCapMP) -- C:\Windows\System32\drivers\rrnetcap.sys (RapidSolution Software AG)
DRV - (RRNetCap) -- C:\Windows\System32\drivers\rrnetcap.sys (RapidSolution Software AG)
DRV - (atikmdag) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV - (amdkmdag) -- C:\Windows\System32\drivers\atikmdag.sys (ATI Technologies Inc.)
DRV - (amdkmdap) -- C:\Windows\System32\drivers\atikmpag.sys (Advanced Micro Devices, Inc.)
DRV - (RTHDMIAzAudService) -- C:\Windows\System32\drivers\RtHDMIV.sys (Realtek Semiconductor Corp.)
DRV - (aswNdis) -- C:\Windows\System32\drivers\aswNdis.sys (ALWIL Software)
DRV - (hotcore3) -- C:\Windows\System32\drivers\hotcore3.sys (Paragon Software Group)
DRV - (vmbus) -- C:\Windows\System32\drivers\vmbus.sys (Microsoft Corporation)
DRV - (storflt) -- C:\Windows\System32\drivers\vmstorfl.sys (Microsoft Corporation)
DRV - (storvsc) -- C:\Windows\System32\drivers\storvsc.sys (Microsoft Corporation)
DRV - (TsUsbFlt) -- C:\Windows\System32\drivers\TsUsbFlt.sys (Microsoft Corporation)
DRV - (VMBusHID) -- C:\Windows\System32\drivers\VMBusHID.sys (Microsoft Corporation)
DRV - (s3cap) -- C:\Windows\System32\drivers\vms3cap.sys (Microsoft Corporation)
DRV - (AtiHDAudioService) -- C:\Windows\System32\drivers\AtihdW73.sys (Advanced Micro Devices)
DRV - (AtiHdmiService) -- C:\Windows\System32\drivers\AtiHdmi.sys (ATI Technologies, Inc.)
DRV - (ZTEusbnet) -- C:\Windows\System32\drivers\ZTEusbnet.sys (ZTE Corporation)
DRV - (ZTEusbvoice) -- C:\Windows\System32\drivers\zteusbvoice.sys (ZTE Incorporated)
DRV - (ZTEusbser6k) -- C:\Windows\System32\drivers\ZTEusbser6k.sys (ZTE Incorporated)
DRV - (ZTEusbnmea) -- C:\Windows\System32\drivers\ZTEusbnmea.sys (ZTE Incorporated)
DRV - (ZTEusbmdm6k) -- C:\Windows\System32\drivers\ZTEusbmdm6k.sys (ZTE Incorporated)
DRV - (Uim_IM) -- C:\Windows\System32\drivers\Uim_IM.sys (Paragon)
DRV - (UimBus) -- C:\Windows\System32\drivers\UimBus.sys (Windows (R) 2000 DDK provider)
DRV - (nvlddmkm) -- C:\Windows\System32\drivers\nvlddmkm.sys (NVIDIA Corporation)
DRV - (ASPI) -- C:\Windows\System32\drivers\ASPI32.SYS (Adaptec)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\URLSearchHook: {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWinl.dll (Conduit Ltd.)
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1727526644-1351537348-3644096250-1007\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKU\S-1-5-21-1727526644-1351537348-3644096250-1007\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2319825
IE - HKU\S-1-5-21-1727526644-1351537348-3644096250-1007\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1727526644-1351537348-3644096250-1007\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-1727526644-1351537348-3644096250-1007\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Program Files\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: C:\Windows\system32\Wat\npWatWeb.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pages.tvunetworks.com/WebPlayer: C:\Program Files\TVUPlayer\npTVUAx.dll File not found
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.111\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\wrc@avast.com: C:\Program Files\Alwil Software\Avast5\WebRep\FF [2012.03.24 09:03:01 | 000,000,000 | ---D | M]
 
[2012.05.17 09:32:20 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions
[2010.05.05 00:11:06 | 000,000,000 | ---D | M] ("BetterPrivacy") -- C:\Programme\Mozilla Firefox\extensions\{d40f5e7b-d2cf-4856-b441-cc613eeffbe3}
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWinl.dll (Conduit Ltd.)
O2 - BHO: (Groove GFS Browser Helper) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O2 - BHO: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\Alwil Software\Avast5\aswWebRepIE.dll (AVAST Software)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (SplitButtonBHO Class) - {C0C86BBE-9509-4296-8459-FDBFDAF4B673} - C:\Programme\FRITZ!Box\AddOn (IE)\FBoxIESplitButton.dll (AVM Berlin)
O3 - HKLM\..\Toolbar: (Winload Toolbar) - {40c3cc16-7269-4b32-9531-17f2950fb06f} - C:\Programme\Winload\prxtbWinl.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (avast! WebRep) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\Alwil Software\Avast5\aswWebRepIE.dll (AVAST Software)
O3 - HKLM\..\Toolbar: (no name) - {ED0E8CA5-42FB-4B18-997B-769E0408E79D} - No CLSID value found.
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\prxtbWinl.dll (Conduit Ltd.)
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\prxtbWinl.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-1727526644-1351537348-3644096250-1007\..\Toolbar\WebBrowser: (Winload Toolbar) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - C:\Programme\Winload\prxtbWinl.dll (Conduit Ltd.)
O4 - HKLM..\Run: [avast] C:\Program Files\Alwil Software\Avast5\avastUI.exe (AVAST Software)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware  (cleanup)] C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll (Malwarebytes Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKLM..\RunOnceEx: [Flags] Reg Error: Invalid data type. File not found
O4 - HKLM..\RunOnceEx: [Title] UnHackMe Rootkit Check File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLinkedConnections = 1
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: FRITZ!Box AddOn - {328ECD19-C167-40eb-A0C7-16FE7634105F} - C:\Programme\FRITZ!Box\AddOn (IE)\FBoxIESplitButton.dll (AVM Berlin)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra Button: FreshDownload - {A5C64E3D-C5AF-409F-B5AB-1240333167A0} - C:\Program Files\FreshDevices\FreshDownload\fd.exe File not found
O13 - gopher Prefix: missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{22D6FBB1-5C73-4764-9999-162F791ADBAD}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Common Files\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (/pagefile) -  File not found
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O28 - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\Programme\Microsoft Office\Office14\GROOVEEX.DLL (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2010.10.07 19:49:24 | 000,000,151 | ---- | M] () - C:\autorun.inf -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.05.18 20:47:04 | 000,595,456 | ---- | C] (OldTimer Tools) -- C:\Users\ich\Desktop\OTL.exe
[2012.05.18 19:42:52 | 000,040,776 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2012.05.18 19:42:52 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Roaming\Malwarebytes
[2012.05.18 19:42:46 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2012.05.18 19:42:45 | 000,022,344 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2012.05.18 19:42:45 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2012.05.18 19:41:14 | 010,063,000 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Users\ich\Desktop\mbam-setup-1.61.0.1400.exe
[2012.05.17 18:35:59 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Local\Microsoft Games
[2012.05.17 17:53:18 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Local\Diagnostics
[2012.05.17 17:17:13 | 000,607,260 | R--- | C] (Swearware) -- C:\Users\ich\Desktop\dds.com
[2012.05.17 15:58:11 | 000,000,000 | ---D | C] -- C:\Users\ich\Documents\UseNeXT
[2012.05.17 15:58:11 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Roaming\UseNeXT
[2012.05.17 09:37:25 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Roaming\Adobe
[2012.05.17 09:37:14 | 000,000,000 | R--D | C] -- C:\Users\ich\Searches
[2012.05.17 09:37:14 | 000,000,000 | R--D | C] -- C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Administrative Tools
[2012.05.17 09:37:05 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Roaming\Identities
[2012.05.17 09:37:03 | 000,000,000 | R--D | C] -- C:\Users\ich\Contacts
[2012.05.17 09:37:02 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Local\VirtualStore
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\Vorlagen
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\AppData\Local\Verlauf
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\AppData\Local\Temporary Internet Files
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\Startmenü
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\SendTo
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\Recent
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\Netzwerkumgebung
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\Lokale Einstellungen
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\Documents\Eigene Videos
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\Documents\Eigene Musik
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\Eigene Dateien
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\Documents\Eigene Bilder
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\Druckumgebung
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\Cookies
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\AppData\Local\Anwendungsdaten
[2012.05.17 09:36:45 | 000,000,000 | -HSD | C] -- C:\Users\ich\Anwendungsdaten
[2012.05.17 09:36:41 | 000,000,000 | --SD | C] -- C:\Users\ich\AppData\Roaming\Microsoft
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Zubehör
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\Videos
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\Saved Games
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\Pictures
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\Music
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\Links
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\Favorites
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\Downloads
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\Documents
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\Desktop
[2012.05.17 09:36:41 | 000,000,000 | R--D | C] -- C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories
[2012.05.17 09:36:41 | 000,000,000 | -H-D | C] -- C:\Users\ich\AppData
[2012.05.17 09:36:41 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Local\Temp
[2012.05.17 09:36:41 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Local\Microsoft Help
[2012.05.17 09:36:41 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Local\Microsoft
[2012.05.17 09:36:41 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Roaming\Media Center Programs
[2012.05.17 09:36:41 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Roaming\Macromedia
[2012.05.17 09:36:41 | 000,000,000 | ---D | C] -- C:\Users\ich\AppData\Local\{3248F0A6-6813-11D6-A77B-00B0D0150000}
[2012.05.11 19:05:47 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012.05.11 17:24:44 | 003,968,368 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2012.05.11 17:24:43 | 003,913,072 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2012.05.11 17:24:43 | 002,343,424 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2012.05.11 17:24:32 | 001,077,248 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\DWrite.dll
[2012.05.04 20:01:16 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Moorhuhn Pinball XXL
[2012.05.04 20:01:15 | 000,000,000 | ---D | C] -- C:\phenomedia
[9 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[9 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.05.18 20:48:00 | 000,000,884 | ---- | M] () -- C:\Windows\tasks\Adobe Flash Player Updater.job
[2012.05.18 20:47:37 | 000,595,456 | ---- | M] (OldTimer Tools) -- C:\Users\ich\Desktop\OTL.exe
[2012.05.18 20:42:44 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\hfpqm.sys
[2012.05.18 20:21:08 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2012.05.18 19:43:26 | 000,040,776 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbamswissarmy.sys
[2012.05.18 19:43:09 | 000,022,688 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.05.18 19:43:09 | 000,022,688 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.05.18 19:42:46 | 000,001,114 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.05.18 19:41:27 | 010,063,000 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Users\ich\Desktop\mbam-setup-1.61.0.1400.exe
[2012.05.18 19:36:01 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2012.05.18 19:35:54 | 000,065,536 | ---- | M] () -- C:\Windows\System32\Ikeext.etl
[2012.05.18 19:35:51 | 000,000,214 | ---- | M] () -- C:\Windows\tasks\AutoKMS.job
[2012.05.18 19:35:43 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.05.18 19:35:38 | 2767,527,936 | -HS- | M] () -- C:\hiberfil.sys
[2012.05.17 17:22:56 | 000,302,592 | ---- | M] () -- C:\Users\ich\Desktop\rmippir6.exe
[2012.05.17 17:17:48 | 000,607,260 | R--- | M] (Swearware) -- C:\Users\ich\Desktop\dds.com
[2012.05.17 17:08:39 | 000,000,000 | ---- | M] () -- C:\Users\ich\defogger_reenable
[2012.05.17 08:19:00 | 000,000,218 | ---- | M] () -- C:\Windows\tasks\AutoKMSDaily.job
[2012.05.17 08:09:17 | 000,731,180 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.05.17 08:09:17 | 000,679,998 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.05.17 08:09:17 | 000,156,934 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.05.17 08:09:17 | 000,128,234 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.05.12 16:46:15 | 000,407,864 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.05.05 07:48:13 | 000,419,488 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerApp.exe
[2012.05.05 07:48:13 | 000,070,304 | ---- | M] (Adobe Systems Incorporated) -- C:\Windows\System32\FlashPlayerCPLApp.cpl
[2012.05.04 20:01:16 | 000,000,843 | ---- | M] () -- C:\Users\Public\Desktop\Moorhuhn Pinball XXL spielen.lnk
[9 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
[9 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.05.18 20:42:44 | 000,054,016 | ---- | C] () -- C:\Windows\System32\drivers\hfpqm.sys
[2012.05.18 19:42:46 | 000,001,114 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.05.17 17:22:56 | 000,302,592 | ---- | C] () -- C:\Users\ich\Desktop\rmippir6.exe
[2012.05.17 17:08:39 | 000,000,000 | ---- | C] () -- C:\Users\ich\defogger_reenable
[2012.05.17 09:37:16 | 000,001,456 | ---- | C] () -- C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
[2012.05.17 09:36:41 | 000,001,392 | ---- | C] () -- C:\Users\ich\Desktop\Recovery-Info.lnk
[2012.05.17 09:36:41 | 000,000,979 | ---- | C] () -- C:\Users\ich\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Media Player.lnk
[2012.05.04 20:01:16 | 000,000,843 | ---- | C] () -- C:\Users\Public\Desktop\Moorhuhn Pinball XXL spielen.lnk
[2012.04.09 19:28:30 | 000,000,181 | ---- | C] () -- C:\ProgramData\Microsoft.SqlServer.Compact.400.32.bc
[2012.01.05 17:25:11 | 000,027,976 | ---- | C] () -- C:\Windows\System32\solidlocalmon.dll
[2012.01.05 17:25:11 | 000,019,272 | ---- | C] () -- C:\Windows\System32\solidlocalui.dll
[2011.12.31 15:54:36 | 000,008,192 | -HS- | C] () -- C:\Windows\System32\srvany.exe
[2011.10.26 03:31:36 | 000,204,952 | ---- | C] () -- C:\Windows\System32\ativvsvl.dat
[2011.10.26 03:31:36 | 000,157,144 | ---- | C] () -- C:\Windows\System32\ativvsva.dat
[2011.10.25 22:21:48 | 000,056,832 | ---- | C] () -- C:\Windows\System32\OpenVideo.dll
[2011.10.25 22:21:34 | 000,056,832 | ---- | C] () -- C:\Windows\System32\OVDecoder.dll
[2011.10.04 19:33:33 | 000,080,416 | ---- | C] () -- C:\Windows\System32\RtNicProp32.dll
[2011.09.14 12:47:40 | 000,053,760 | ---- | C] () -- C:\Windows\System32\OVDecode.dll
[2011.09.13 00:06:16 | 000,003,917 | ---- | C] () -- C:\Windows\System32\atipblag.dat
[2011.08.30 16:33:12 | 000,239,869 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
[2011.07.02 14:30:14 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2011.06.25 13:47:54 | 000,000,000 | ---- | C] () -- C:\Windows\lgfwup.ini
[2011.06.12 08:38:14 | 000,151,552 | ---- | C] () -- C:\Windows\KMSEmulator.exe
[2011.06.12 08:37:44 | 000,000,751 | ---- | C] () -- C:\Windows\System32\Settings.ini
[2011.04.06 20:44:37 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2010.07.15 15:01:27 | 000,000,000 | ---- | C] () -- C:\Windows\Irremote.ini

< End of report >

und nun noch das OTL Extra

Code:

ATTFilter

OTL Extras logfile created on: 18.05.2012 20:48:41 - Run 1
OTL by OldTimer - Version 3.2.43.0     Folder = C:\Users\ich\Desktop
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,44 Gb Total Physical Memory | 2,19 Gb Available Physical Memory | 63,73% Memory free
6,87 Gb Paging File | 5,49 Gb Available in Paging File | 79,90% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 186,21 Gb Total Space | 114,00 Gb Free Space | 61,22% Space Free | Partition Type: NTFS
 
Computer Name: CHEF-PC | User Name: ich | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Program Files\Microsoft Office\Office14\msohtmed.exe" /p %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{07EC46A1-0652-411B-9A88-6CF463C3DCD9}" = lport=445 | protocol=6 | dir=in | app=system | 
"{0A53A302-EB66-4CE8-BE73-5C2902D680A9}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{0CE80BD3-2722-4052-B90E-42059FD1FE38}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{0F312264-7804-400D-9A56-F5D35011E1E6}" = lport=138 | protocol=17 | dir=in | app=system | 
"{23625C5D-6F84-498F-9480-391E57DE05A1}" = lport=137 | protocol=17 | dir=in | app=system | 
"{41854819-CBE4-4258-83BF-4E0E1E5994C2}" = lport=3702 | protocol=17 | dir=in | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{446F6C13-D56D-4B4D-8757-77D0D732F6A1}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{47D43D3C-D6AE-4432-8D5A-7EB8DFD391C2}" = rport=137 | protocol=17 | dir=out | app=system | 
"{521292D3-48CE-4EEE-B09E-F7FACA03230C}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{57EAEA62-DB80-4B47-B991-BF62540D6BB9}" = rport=138 | protocol=17 | dir=out | app=system | 
"{5897F69B-B1FA-403A-AAE1-27D94DB52671}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{5CE75AE1-6614-40A7-B573-508BC8E14016}" = rport=445 | protocol=6 | dir=out | app=system | 
"{6809CDA4-687B-4FD5-9761-1D1058EF139F}" = lport=139 | protocol=6 | dir=in | app=system | 
"{6B66A81B-6A4D-4AEA-9101-1678C2EAED39}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{6C5D0083-0D32-492D-B1AF-A023C132E887}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{72EC8682-C796-4E0A-9239-4C74EB2C93D0}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{73261A22-93B3-4A98-A4C7-E94033C531F4}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{7E63C09D-DAAA-44CF-B8DA-74F16D98D5E9}" = lport=80 | protocol=6 | dir=in | name=http | 
"{91369C95-F3EF-48C1-B760-E43A3DE15A3E}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{948D80BC-B8F6-4736-98AE-5D25B2323046}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{9ABDDC6A-2710-411D-8AEC-3E1623DE26C7}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{9D79B35B-2D43-4694-A674-48DB6D02DB81}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{A335362D-8D6E-4095-9A74-A7ADC1D12A05}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{A77DEA87-5939-47B0-BC6C-A123B1860782}" = lport=3702 | protocol=17 | dir=in | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{B51A3CD0-8947-49DB-A74B-B0053DC45D17}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{B98CB313-B686-49DE-8D05-0DEB5B2F1CC0}" = lport=6004 | protocol=17 | dir=in | app=c:\program files\microsoft office\office14\outlook.exe | 
"{BB2C11F7-CFB1-4503-98C9-9914DD0ADAA2}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{BBF2BF77-B2A1-45AF-BD0D-EF8001999C55}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{C60A6196-5DCA-4806-B4FB-6DA55F070D6A}" = rport=3702 | protocol=17 | dir=out | svc=fdphost | app=%systemroot%\system32\svchost.exe | 
"{D9478D55-3838-4ACF-B4E9-EDA9EE650061}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{DCEB4BE8-AEAC-4DA4-B38F-94D2C87AFC4C}" = rport=3702 | protocol=17 | dir=out | svc=fdrespub | app=%systemroot%\system32\svchost.exe | 
"{DF1F467B-E057-4D8C-AF79-C0372591BC72}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{F1F67389-5AC7-44E6-B1AF-6B5D0CC672A1}" = rport=139 | protocol=6 | dir=out | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{065EEFCF-9BE8-4CCB-893B-200CF9A71FB6}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{0DAAAE17-2762-4BF7-AB12-96BFFF94F787}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{10B61D9D-5E9C-4161-B999-30BDFFA765FE}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{19E570E3-81A0-470D-BF8F-81FA1E0E2A33}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{22A3EC9F-997A-46F3-B92F-8356D8E7EC3E}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{2CA83B53-29D9-41B1-8947-44186F4B38F2}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office14\groove.exe | 
"{5CAAE267-8573-4BD6-8EAD-8EB1C2BF2365}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office14\groove.exe | 
"{75F24B71-CE41-4003-AC76-00086C502CFD}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{77231ADF-9D68-4AF6-AC15-0217FDEA72C9}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{8681AE51-244F-4D8E-8623-D48EFBF01D32}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{BDC9E77B-8D0C-4B01-9D6C-F7350E09C760}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{BF72DADC-EBF7-41B7-815E-D62CB0FEAFFC}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{C099F56C-B14F-46A6-A2E4-B9D08761891D}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{D05529B0-72DB-445F-AB5C-C19179F4DC6F}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{D40530F5-3E07-40E9-8384-165278C368AC}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{D8EA10F4-745C-4712-99D7-77EAD023E69E}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{DC4B1B7C-B412-4A22-BEF0-4B2666EB7B99}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{ED28FA76-B9F3-4BD0-81D1-DAB1C37DC7C2}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{F616A0F0-883E-4F7F-86D4-40F658BDCC32}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office14\onenote.exe | 
"{F86D6ECF-1E2A-4576-B643-F85D483991E7}" = protocol=6 | dir=out | app=system | 
"{FA8DF5D8-8852-42F3-BF6B-6FD4EF2C041A}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office14\onenote.exe | 
"TCP Query User{0E39D3C6-D2D0-4A56-B2C1-F7021BF3E971}C:\windows\kmsemulator.exe" = protocol=6 | dir=in | app=c:\windows\kmsemulator.exe | 
"TCP Query User{1AFE5C60-98AA-44FE-9BF9-0D16EEA7851C}C:\program files\chilirec\chilirec.exe" = protocol=6 | dir=in | app=c:\program files\chilirec\chilirec.exe | 
"TCP Query User{5BC852A6-AB36-49D4-8A2C-B08E1E404609}C:\program files\rapidsolution\audials 9\audials.exe" = protocol=6 | dir=in | app=c:\program files\rapidsolution\audials 9\audials.exe | 
"TCP Query User{D9752C50-8E9E-4DCB-99CC-EFC4C211FFB5}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=6 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe | 
"TCP Query User{E2BA97BA-5429-4800-A63F-CE743E933B07}C:\program files\internet explorer\iexplore.exe" = protocol=6 | dir=in | app=c:\program files\internet explorer\iexplore.exe | 
"UDP Query User{267A795A-3F8F-42CF-AE2B-0BB34ABC8C6A}C:\program files\google\google earth\plugin\geplugin.exe" = protocol=17 | dir=in | app=c:\program files\google\google earth\plugin\geplugin.exe | 
"UDP Query User{2E9D09A6-1392-438D-BED2-EA1832AD538F}C:\program files\internet explorer\iexplore.exe" = protocol=17 | dir=in | app=c:\program files\internet explorer\iexplore.exe | 
"UDP Query User{75EEDC11-3787-472F-ADD9-BA4324DA845B}C:\program files\chilirec\chilirec.exe" = protocol=17 | dir=in | app=c:\program files\chilirec\chilirec.exe | 
"UDP Query User{8812F42B-9AB0-42B0-9363-3D54581E042F}C:\program files\rapidsolution\audials 9\audials.exe" = protocol=17 | dir=in | app=c:\program files\rapidsolution\audials 9\audials.exe | 
"UDP Query User{D43E40F6-1945-43B6-BDA8-D439FA300CAD}C:\windows\kmsemulator.exe" = protocol=17 | dir=in | app=c:\windows\kmsemulator.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{0138F525-6C8A-333F-A105-14AE030B9A54}" = Visual C++ 9.0 CRT (x86) WinSXS MSM
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{11083C7A-D0D6-4DA4-8C3A-74B8389EC07B}" = ATI Catalyst Registration
"{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_CNQ4808" = CanoScan 5600F Scanner Driver
"{172423F9-522A-483A-AD65-03600CE4CA4F}" = Microsoft Works 6-9 Converter
"{196BB40D-1578-3D01-B289-BEFC77A11A1E}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319
"{19A492A0-888F-44A0-9B21-D91700763F62}" = Catalyst Control Center - Branding
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216025FF}" = Java(TM) 6 Update 26
"{2735ED7C-3B09-FA3D-6F05-74D3BA9A936A}" = AMD Media Foundation Decoders
"{2934DCB0-F8EE-11E0-A4A5-B8AC6F97B88E}" = Google Earth Plug-in
"{2EA2DE09-5DCF-2B9E-E933-375EF0EDF768}" = Catalyst Control Center
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5229C090-842B-1CB0-1676-43E421294B5C}" = AMD Drag and Drop Transcoding
"{5449FB4F-1802-4D5B-A6D8-087DB1142147}" = Realtek HDMI Audio Driver for ATI
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{5F89F3D0-0482-9F06-2022-A55B10CE9780}" = Catalyst Control Center InstallProxy
"{6AFCA4E1-9B78-3640-8F72-A7BF33448200}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{73079C4E-ADEE-FFB1-D6B5-B373FCA87093}" = CCC Help English
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek Ethernet Controller Driver
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8ACC73AA-6511-7C55-B1A9-8E5D1DEAFAA3}" = The Lord of the Rings FREE Trial 
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90140000-0011-0000-0000-0000000FF1CE}" = Microsoft Office Professional Plus 2010
"{90140000-0011-0000-0000-0000000FF1CE}_Office14.PROPLUS_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.PROPLUS_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.PROPLUS_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.PROPLUS_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.PROPLUS_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.PROPLUS_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2010
"{90140000-0044-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.PROPLUS_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2010
"{90140000-00BA-0407-0000-0000000FF1CE}_Office14.PROPLUS_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{96B51C0B-D3BE-4DF3-959C-28B22C10CFBB}" = Vodafone Mobile Connect Lite
"{96F51932-0944-4D62-945F-E6837E510462}" = AVM FRITZ!Box AddOn (IE)
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A25FF1C0-80B6-4B8B-A551-DC525697A408}" = AMD APP SDK Runtime
"{A35001F0-F1E4-11DD-A38B-005056C00008}" = Paragon Partition Manager™ 10.0 Professional
"{A49F249F-0C91-497F-86DF-B2585E8E76B7}" = Microsoft Visual C++ 2005 Redistributable
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.3) - Deutsch
"{C15D6939-280D-39A6-41B5-253D2A935525}" = AMD Catalyst Install Manager
"{EC9E0980-A5A8-83DC-0E03-AA628E54137D}" = Catalyst Control Center Graphics Previews Common
"{ECD11609-368B-4C38-92DC-CC2F4DC54E6B}" = Audials
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FFBBB135-E8A2-3982-6C8F-995608BCA87D}" = ccc-utility
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Anti-Twin 2011-05-15 13.59.54" = Anti-Twin (Installation 15.05.2011)
"Ashampoo Burning Studio 6 FREE_is1" = Ashampoo Burning Studio 6 FREE v.6.80
"avast" = avast! Internet Security
"AVMFBox" = AVM FRITZ!Box Dokumentation
"AVMFBoxPrinter" = AVM FRITZ!Box Druckeranschluss
"CanonSolutionMenu" = Canon Utilities Solution Menu
"CCleaner" = CCleaner
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.61.0.1400
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"MP Navigator EX 2.0" = Canon MP Navigator EX 2.0
"Office14.PROPLUS" = Microsoft Office Professional Plus 2010
"PhotoScape" = PhotoScape
"QuickPar" = QuickPar 0.9
"RarZilla Free Unrar" = RarZilla Free Unrar
"Recuva" = Recuva
"UseNeXT_is1" = UseNeXT
"VLC media player" = VLC media player 1.1.11
 
========== Last 10 Event Log Errors ==========
 
[ Application Events ]
Error - 16.05.2012 13:20:52 | Computer Name = chef-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 17.05.2012 01:36:25 | Computer Name = chef-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 17.05.2012 03:25:34 | Computer Name = chef-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 17.05.2012 03:31:00 | Computer Name = chef-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 17.05.2012 03:31:12 | Computer Name = chef-PC | Source = ESENT | ID = 215
Description = WinMail (2652) WindowsMail0: Die Sicherung wurde abgebrochen, weil
 sie vom Client angehalten wurde, oder weil die Verbindung mit dem Client unterbrochen
 wurde.
 
Error - 17.05.2012 03:32:01 | Computer Name = chef-PC | Source = Microsoft-Windows-CAPI2 | ID = 4107
Description = Fehler beim Extrahieren der Drittanbieterstammliste aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>.
 Fehler: Ein erforderliches Zertifikat befindet sich nicht im Gültigkeitszeitraum
 gemessen an der aktuellen Systemzeit oder dem Zeitstempel in der signierten Datei.
.
 
Error - 17.05.2012 03:36:59 | Computer Name = chef-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 17.05.2012 08:17:45 | Computer Name = chef-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 17.05.2012 15:16:06 | Computer Name = chef-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
Error - 18.05.2012 13:36:06 | Computer Name = chef-PC | Source = VMCService | ID = 0
Description = conflictManagerTypeValue
 
[ System Events ]
Error - 17.05.2012 02:11:40 | Computer Name = chef-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\DR6 gefunden.
 
Error - 17.05.2012 02:11:46 | Computer Name = chef-PC | Source = Microsoft-Windows-BitLocker-Driver | ID = 24620
Description = Überprüfung des verschlüsselten Volumes: Die Volumeinformationen auf
 "H:" können nicht gelesen werden.
 
Error - 17.05.2012 02:12:20 | Computer Name = chef-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\DR6 gefunden.
 
Error - 17.05.2012 02:12:21 | Computer Name = chef-PC | Source = Disk | ID = 262155
Description = Der Treiber hat einen Controllerfehler auf \Device\Harddisk5\DR6 gefunden.
 
Error - 17.05.2012 03:25:14 | Computer Name = chef-PC | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 17.05.2012 03:30:33 | Computer Name = chef-PC | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 17.05.2012 03:36:20 | Computer Name = chef-PC | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 17.05.2012 07:20:22 | Computer Name = chef-PC | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 17.05.2012 15:15:27 | Computer Name = chef-PC | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
Error - 18.05.2012 13:35:36 | Computer Name = chef-PC | Source = Microsoft-Windows-Kernel-Processor-Power | ID = 6
Description = Einige Funktionen zur Energieverwaltung im Leistungsstatus wurden 
im Prozessor aufgrund eines bekannten Firmwareproblems deaktiviert. Wenden Sie sich
 an den Computerhersteller, um aktualisierte Firmware zu erhalten.
 
 
< End of report >

zum Schluß noch der CCleaner

Code:

ATTFilter

Adobe Flash Player 11 ActiveX	Adobe Systems Incorporated	03.05.2012	6,00MB	11.2.202.235
Adobe Flash Player 11 Plugin	Adobe Systems Incorporated	04.05.2012	6,00MB	11.2.202.235
Adobe Reader X (10.1.3) - Deutsch	Adobe Systems Incorporated	14.04.2012	168,1MB	10.1.3
AMD Catalyst Install Manager	Advanced Micro Devices, Inc.	28.11.2011	16,9MB	3.0.851.0
Anti-Twin (Installation 15.05.2011)	Joerg Rosenthal, Germany	14.05.2011		
Ashampoo Burning Studio 6 FREE v.6.80	ashampoo GmbH & Co. KG	09.10.2011	39,3MB	6.8.0
Audials	RapidSolution Software AG	16.04.2012	275MB	9.0.52611.1100
avast! Internet Security	AVAST Software	23.03.2012		7.0.1426.0
AVM FRITZ!Box Dokumentation	AVM Berlin	19.04.2011		
AVM FRITZ!Box Druckeranschluss	AVM Berlin	19.04.2011		
Canon MP Navigator EX 2.0		20.10.2010		
Canon Utilities Solution Menu		20.10.2010		
CanoScan 5600F Scanner Driver		20.10.2010		
CCleaner	Piriform	17.05.2012		3.18
Compatibility Pack für 2007 Office System	Microsoft Corporation	10.05.2012	193,0MB	12.0.6612.1000
Google Earth Plug-in	Google	16.11.2011	40,9MB	6.1.0.5001
Java(TM) 6 Update 26	Oracle	17.05.2011	94,7MB	6.0.260
Malwarebytes Anti-Malware Version 1.61.0.1400	Malwarebytes Corporation	17.05.2012	18,0MB	1.61.0.1400
Microsoft .NET Framework 4 Client Profile	Microsoft Corporation	24.06.2010	38,8MB	4.0.30319
Microsoft .NET Framework 4 Client Profile DEU Language Pack	Microsoft Corporation	24.06.2010	2,94MB	4.0.30319
Microsoft .NET Framework 4 Extended	Microsoft Corporation	08.04.2012	52,0MB	4.0.30319
Microsoft Office Professional Plus 2010	Microsoft Corporation	03.07.2011		14.0.6029.1000
Microsoft Silverlight	Microsoft Corporation	10.05.2012	80,4MB	4.1.10329.0
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053	Microsoft Corporation	19.11.2010	0,25MB	8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	04.01.2012	2,38MB	8.0.61001
Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570	Microsoft Corporation	04.06.2011	0,58MB	9.0.30729.5570
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729	Microsoft Corporation	17.03.2011	0,24MB	9.0.30729
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148	Microsoft Corporation	14.04.2010	0,58MB	9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161	Microsoft Corporation	14.06.2011	0,59MB	9.0.30729.6161
Microsoft Visual C++ 2010  x86 Redistributable - 10.0.30319	Microsoft Corporation	04.06.2011	11,0MB	10.0.30319
Microsoft Works 6-9 Converter	Microsoft Corporation	11.04.2012	6,44MB	9.7.0000
MSXML 4.0 SP2 (KB954430)	Microsoft Corporation	15.07.2010	35,00KB	4.20.9870.0
MSXML 4.0 SP2 (KB973688)	Microsoft Corporation	15.07.2010	1,33MB	4.20.9876.0
Paragon Partition Manager™ 10.0 Professional	Paragon Software	18.03.2012	126,4MB	90.00.0003
PDFCreator	Frank Heindörfer, Philip Chinery	05.04.2011		1.2.0
PhotoScape		18.08.2010		
QuickPar 0.9	Peter B. Clements	20.11.2010		0.9
RarZilla Free Unrar	Philipp Winterberg	17.02.2011		2.80
Realtek Ethernet Controller Driver	Realtek	06.03.2011		7.37.1229.2010
Realtek HDMI Audio Driver for ATI	Realtek Semiconductor Corp.	03.10.2011		6.0.1.6409
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	03.10.2011		6.0.1.6449
Recuva	Piriform	13.09.2010		1.38
UseNeXT	Tangysoft Ltd.	18.02.2012	5,24MB	
VLC media player 1.1.11	VideoLAN	26.10.2011		1.1.11
Vodafone Mobile Connect Lite	Vodafone	22.02.2012	32,1MB	9.4.4.17702

Freue mich schon auf ihre Antwort.
Gruß, middlfrangg

kira · 19.05.2012, 10:26

Das Installieren von "nicht legal erworbene Software" ist eine ziemlich sichere Methode, ein Rechner zu infizieren - Gecracktes Office:

Zitat:

C:\Windows\kmsem\KMService.exe (RiskWare.Tool.CK)

Einen durch Keygen [Key Generator/Keymaker] verseuchten PC und eventuell gespeicherte externe Daten auf SB Sticks, ext.Platte etc,, sollte formatiert und neu aufgesetzt werden, weil ja durch gecrackte oder mit Viren verseuchte Software wie auch immer, ein Angreifer erfolgreich in dein System eingedrungen ist:-> *Technische Kompromittierung*
Denn die angebotenen Programme und Dateien enthalten jede erdenkliche Art von Malware/Schadprogramm wie z.B. Backdoors, Rootkits etc, die dann den PC unter Kontrolle nehmen und die Administratorrolle übernehmen können
Weil dieses `selbstzerrstörerischem Verhalten `illegal` ist bzw verstößt gegen das Gesetz, wir dürfen Dir nicht weiter helfen. Aus diesem Grund sehen wir uns gezwungen den Thread zu schließen:-> Ich möchte dich darauf hinweisen, dass wir bei Verwendung von Keygens & Cracks keine Beihilfe leisten wollen! :-> Forumregel:- Cracks, Keygens und andere illegale Software
Also Du kannst Dir viel Ärger und unnötige Zeitverschwendung ersparen, indem du dein System und auch die externe potenziell verseuchte Platte, USB-Stick etc formatiers und Windows (ohne Cracks & Keygens) neu installierst! Aber wenigstens hast Du dann nach einer Neuinstallation wieder ein sauberes System und hoffentlich hast Du was draus gelernt und in Zukunft lässt die Finger von...

Zitat:

Sinn & Zweck der Sache - Viren Trojaner Würmer:
Ein Wurm, der fast als "guter Wurm" bezeichnet werden kann, zieht durch
das Netz und verbeitet sich über die File-Sharing Netzwerke BearShare, KaZaA
eMule & Co
Der Wurm besitzt unzählige verschiedene Namen bekannter Cracks oder
Keygeneratoren zur illegalen Benutzung von kommerzieller Software. Wer gezielt
nach solchen Dateien sucht, könnte also durchaus auch auf eine Wurmkopie
treffen.

ukash Trojaner Bildschirm gesperrt

Log-Analyse und Auswertung: ukash Trojaner Bildschirm gesperrt