BundesTrojaner? PC startet nicht mehr im abgesicherten Modus

cosinus · 12.06.2012, 16:13

Sry irgendwie wird's jetzt chaotisch

- Du sprichst von OTLPE meinst aber in Wirkllichkeit das normale OTL
- Was genau ist jetzt die zweite Platte und was genau hast du da gebootet

bobbele89 · 12.06.2012, 17:05

Also habe eine andere unbefallene Platte besorgt, worauf ebenfalls Windows XP Professional installiert ist. Diese habe ich dann als eine weitere SATA Festplatte an das Board gehängt.
Bei dem Start des PC wird jetzt von dieser Platte gebootet. Dort im abgesicherten Modus OTL (das ist doch eigentlich genau das Programm das von markusg beschrieben wird) per USB Stick aufgespielt und gestartet. Selbe Verfahrensweise habe ich angewandt, um Malwarebytes zu installieren.

Die jeweiligen log Dateien die sich erstellten (siehe Post#11) wurden dann auf einen USB-Stick gezogen, gezippt und dann hier im Thread angehängt.
Vielleicht sind die Logs unbrauchbar. Wenn ja kannst du mir vielleicht erklären wie ich das befallene Laufwerk (hier bei mir als Laufwerk F angezeigt) von der gebooteten Platte (hier Laufwerk C) aus mit OTL scannen kann ?

Tut mir leid dich zu verwirren aber wenn noch Fragen sind oder etwas unklar sein sollte bin ich bemüht, sie dir korrekt zu beantworten.

MfG
Michael

cosinus · 12.06.2012, 21:52

Naja, dann hast du OTL von einem nicht infizierten System scannen lassen. OTL scannt dann die Bereicht vom sauberen Windows, das ist so nicht brauchbar

Wenn dann hilft ein Vollscan mit Malwarebytes, aber dann muss es ein Vollscan sein und die Platte des infizierten Windows muss mit untersucht werden.
Zudem wurden die Signaturen nicht aktualisiert

bobbele89 · 13.06.2012, 19:45

Hallo Arne,

habe offline die Signatur von Malewarebytes auf den aktuellen Stand gebracht und einen vollscann auf der infizierten Platte laufen lassen. Die Funde habe ich in Quarantäne verschoben. Die log dazu liegt im Anhang.

Anschließend wurde noch von mir im abgesicherten Modus auf der laufenden Platte (Erklärung siehe Post#17) Avira Antivir installiert und ebenfalls offline auf den aktuellen Vierenstand gebracht. Ebenfalls die Funde gelöscht und eine Kopie davon in Quarantäne verschoben. Log dazu im Anhang.

Das alles brachte keine Besserung auf dem befallenen System. Weiterhin kein start im abgesicherten Modus möglich. Der Task Manager kann nicht gestartet werden. Der Administrator hätte den Zugriff verweigert lautet die Meldung dazu. Auch ist nur das Desktop Hintergrundbild zu sehen sonst nichts. Keine Icons oder Taskleiste z.b.

Und dann habe ich mir mit der flachen Hand auf die Stirn geschlagen.

Habe einfach die infizierte Platte in einen anderen PC bei einem Freund angeschlossen. Im BIOS auf AHCI kompatibel gestellt. Und schon konnte ich OTPLENet von der bootfähigen CD starten.

WARUM BIN ICH NICHT FRÜHER DARAUF GEKOMMEN !!!
Man sieht halt manchmal den Wald vor lauter Bäumen nicht

Also habe ich OTPLE gestartet und einen quick scann durchgeführt sowie einen weiteren scann gemacht so wie markusg unter http://www.trojaner-board.de/112825-...ktioniert.html es beschreibt. Auch diesen log habe ich mit in den Anhang gehängt.

Ich hoffe SEHR das Du mit denen etwas anfangen kannst und mir irgendwie weiterhelfen kannst. Wenn ich hier etwas unverständlich erklärt habe gib kurz bescheid, damit ich es anders erklären tue.

Weiterhin Vielen Dank für deine Mühen.

MfG
Michael

cosinus · 13.06.2012, 21:33

Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Bei OTL musst du aufpassen und das Windowsverzeichnis deines infizierten Windows auswählen!

Code:

ATTFilter

:OTL
O4 - HKU\Maja_ON_C..\Run: []  File not found
O4 - HKU\Maja_ON_C..\Run: [Boot Scheduler ]  File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Maja_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Maja_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Maja_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWinKeys = 1
O7 - HKU\Maja_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Maja_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKLM Winlogon: Shell - ("C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\1bdc8aa.exe") -  File not found
O20 - HKU\Maja_ON_C Winlogon: Shell - ("C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\1bdc8aa.exe") -  File not found
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006/04/29 10:51:51 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
:Commands
[purity]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten

bobbele89 · 14.06.2012, 08:29

Morgen Arne,

habe alles so gemacht, wie du es mir beschrieben hattest. Im Anhang die log Datei, die sich nach dem Fixen öffnete. Auch habe ich wie gewünscht den Quarantäne Ordner von OTL in den Upload Channel bei euch gestellt.

Windows startet jetzt wieder inkl. Taskleiste und die Möglichkeit des Aufrufens des Task Manager geht auch wieder. Dafür vielen Dank erst einmal !!!

Was mich aber noch etwas verunsichert ist das die kompletten Icons, Verknüpfungen auf dem Desktop verschwunden sind. Wenn ich allerdings im Explorer auf Desktop gehe, sehe ich dort alle stehen.

Wenn du dafür auch noch eine Erklärung oder Lösung hast, wäre ich unheimlich dankbar dir gegenüber.

Aber auch so muss ich dem Board und insbesondere dir meinen tiefsten Dank aussprechen für die Hilfe, die ich erhalten habe.

Eine Spende wird selbstredend von mir an euch überwiesen.

Würde mich Freuen, wenn ich noch einmal von dir hören würde bezüglich des Desktops...

MfG
Michael

cosinus · 14.06.2012, 12:24

Die Platte mit dem infizierten Windows ist wieder in den ursprungsrechner zurückgebaut und alles ist wieder so wie ursprünglich zurückgestellt worden? Und windows bootet normal?

Wenn ja dann: Bitte routinemäßig einen Vollscan mit Malwarebytes machen und Log posten. =>ALLE lokalen Datenträger (außer CD/DVD) überprüfen lassen!
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Die Funde mit Malwarebytes bitte alle entfernen, sodass sie in der Quarantäne von Malwarebytes aufgehoben werden! NICHTS voreilig aus der Quarantäne entfernen!

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

bobbele89 · 15.06.2012, 18:43

Bevor ich deinen aktuellen Post gelesen hatte, habe ich schon einen scann mit Avira durchgeführt. Und siehe da er hatte auch 2 Funde gehabt. Gelöscht und Kopie in Quarantäne verschoben. Sieh Log:

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Freitag, 15. Juni 2012  01:26

Es wird nach 3831809 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Normal gebootet
Benutzername   : SYSTEM
Computername   : WINXP

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  01.05.2012 22:48:48
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.15     230152 Bytes  01.05.2012 22:13:35
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:30:56
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:30:56
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 09:30:56
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:30:56
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 09:30:56
VBASE005.VDF   : 7.11.29.136  2166272 Bytes  10.05.2012 09:30:56
VBASE006.VDF   : 7.11.29.137     2048 Bytes  10.05.2012 09:30:56
VBASE007.VDF   : 7.11.29.138     2048 Bytes  10.05.2012 09:30:56
VBASE008.VDF   : 7.11.29.139     2048 Bytes  10.05.2012 09:30:56
VBASE009.VDF   : 7.11.29.140     2048 Bytes  10.05.2012 09:30:56
VBASE010.VDF   : 7.11.29.141     2048 Bytes  10.05.2012 09:30:56
VBASE011.VDF   : 7.11.29.142     2048 Bytes  10.05.2012 09:30:56
VBASE012.VDF   : 7.11.29.143     2048 Bytes  10.05.2012 09:30:56
VBASE013.VDF   : 7.11.29.144     2048 Bytes  10.05.2012 09:30:56
VBASE014.VDF   : 7.11.30.3     198144 Bytes  14.05.2012 09:30:56
VBASE015.VDF   : 7.11.30.69    186368 Bytes  17.05.2012 09:30:56
VBASE016.VDF   : 7.11.30.143   223744 Bytes  21.05.2012 09:30:56
VBASE017.VDF   : 7.11.30.207   287744 Bytes  23.05.2012 09:30:56
VBASE018.VDF   : 7.11.31.57    188416 Bytes  28.05.2012 09:30:56
VBASE019.VDF   : 7.11.31.111   214528 Bytes  30.05.2012 09:30:56
VBASE020.VDF   : 7.11.31.151   116736 Bytes  31.05.2012 09:30:56
VBASE021.VDF   : 7.11.31.205   134144 Bytes  03.06.2012 09:30:56
VBASE022.VDF   : 7.11.32.9     169472 Bytes  05.06.2012 09:30:56
VBASE023.VDF   : 7.11.32.85    155648 Bytes  08.06.2012 09:30:56
VBASE024.VDF   : 7.11.32.133   127488 Bytes  11.06.2012 09:30:56
VBASE025.VDF   : 7.11.32.171   182784 Bytes  12.06.2012 09:30:56
VBASE026.VDF   : 7.11.32.172     2048 Bytes  12.06.2012 09:30:56
VBASE027.VDF   : 7.11.32.173     2048 Bytes  12.06.2012 09:30:56
VBASE028.VDF   : 7.11.32.174     2048 Bytes  12.06.2012 09:30:56
VBASE029.VDF   : 7.11.32.175     2048 Bytes  12.06.2012 09:30:56
VBASE030.VDF   : 7.11.32.176     2048 Bytes  12.06.2012 09:30:56
VBASE031.VDF   : 7.11.32.190    26112 Bytes  13.06.2012 09:30:56
Engineversion  : 8.2.10.80 
AEVDF.DLL      : 8.1.2.8       106867 Bytes  13.06.2012 09:35:52
AESCRIPT.DLL   : 8.1.4.24      450939 Bytes  13.06.2012 09:35:52
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.10      606580 Bytes  13.06.2012 09:35:52
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.2.16.16     807288 Bytes  13.06.2012 09:35:52
AEOFFICE.DLL   : 8.1.2.28      201082 Bytes  26.04.2012 16:41:32
AEHEUR.DLL     : 8.1.4.36     4874615 Bytes  13.06.2012 09:35:52
AEHELP.DLL     : 8.1.21.0      254326 Bytes  13.06.2012 09:35:52
AEGEN.DLL      : 8.1.5.28      422260 Bytes  26.04.2012 16:41:31
AEEXP.DLL      : 8.1.0.44       82293 Bytes  13.06.2012 09:35:52
AEEMU.DLL      : 8.1.3.0       393589 Bytes  20.01.2012 23:21:29
AECORE.DLL     : 8.1.25.10     201080 Bytes  13.06.2012 09:35:52
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.15      51920 Bytes  01.05.2012 22:44:31
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.15     211408 Bytes  01.05.2012 22:21:32
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  01.05.2012 22:51:35
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  02.05.2012 00:03:51
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, 
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Freitag, 15. Juni 2012  01:26

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!
Bootsektor 'E:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Eine Instanz der ARK Library läuft bereits.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'rsmsink.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'msdtc.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '101' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '64' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '79' Modul(e) wurden durchsucht
Durchsuche Prozess 'FxSvr2.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'StCenter.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'FwebProt.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'OLFSNT40.EXE' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'RaUI.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '114' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '42' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'NokiaMServer.exe' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'LogiTray.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'LVCOMSX.EXE' - '35' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '38' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '45' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '63' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '122' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '169' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '41' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '53' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '61' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '12' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1290' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Programme\Nokia\Nokia Ovi Suite\Help\webhelp.jar
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
C:\System Volume Information\_restore{2D958F7D-98CC-4368-90B3-5D06A0A20A08}\RP11\A0006324.dll
  [FUND]      Ist das Trojanische Pferd TR/Graftor.20485.17
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 53fae820.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
C:\System Volume Information\_restore{2D958F7D-98CC-4368-90B3-5D06A0A20A08}\RP11\A0006325.sys
  [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Medyies.ver
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b6dc780.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\Temp\AVSETUP_4fda6cb5\avsdklist.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\WINDOWS\Temp\AVSETUP_4fda6cb5\manualuninstallconfig.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\WINDOWS\Temp\AVSETUP_4fda6cb5\productreleasenotes.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
C:\WINDOWS\Temp\AVSETUP_4fda6cb5\qatestedproducts.zip
  [WARNUNG]   Die Datei ist kennwortgeschützt
Beginne mit der Suche in 'E:\' <Volume>


Ende des Suchlaufs: Freitag, 15. Juni 2012  03:10
Benötigte Zeit:  1:44:30 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   7720 Verzeichnisse wurden überprüft
 305975 Dateien wurden geprüft
      2 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      2 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 305973 Dateien ohne Befall
   1035 Archive wurden durchsucht
      5 Warnungen
      2 Hinweise

Danach bin ich deinem Rat gefolgt und habe nach einer Aktualisierung der Datenbank einen weiteren scann mit Malwarebytes ausgeführt. Siehe log:

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.11.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Maja :: WINXP [Administrator]

Schutz: Aktiviert

15.06.2012 03:21:55
mbam-log-2012-06-14 (03-21-55).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 278542
Laufzeit: 1 Stunde(n), 52 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Hiermit stelle ich auch noch einmal die Logs ein die sich bei vorherigen Scans unter Avira und Malwarenbytes erstellten bevor du mir den Text für OTL zum Fixen hier gepostet hattest.

Code:

ATTFilter

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 14. Juni 2012  01:50

Es wird nach 3831809 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer   : Avira AntiVir Personal - Free Antivirus
Seriennummer   : 0000149996-ADJIE-0000001
Plattform      : Microsoft Windows XP
Windowsversion : (Service Pack 3)  [5.1.2600]
Boot Modus     : Abgesicherter Modus
Benutzername   : Test
Computername   : JUAGHANC573

Versionsinformationen:
BUILD.DAT      : 12.0.0.1125    41829 Bytes  02.05.2012 16:34:00
AVSCAN.EXE     : 12.3.0.15     466896 Bytes  01.05.2012 22:48:48
AVSCAN.DLL     : 12.3.0.15      66256 Bytes  02.05.2012 00:02:50
LUKE.DLL       : 12.3.0.15      68304 Bytes  01.05.2012 23:31:47
AVSCPLR.DLL    : 12.3.0.14      97032 Bytes  01.05.2012 22:13:36
AVREG.DLL      : 12.3.0.15     230152 Bytes  01.05.2012 22:13:35
VBASE000.VDF   : 7.10.0.0    19875328 Bytes  06.11.2009 09:30:56
VBASE001.VDF   : 7.11.0.0    13342208 Bytes  14.12.2010 09:30:56
VBASE002.VDF   : 7.11.19.170 14374912 Bytes  20.12.2011 09:30:56
VBASE003.VDF   : 7.11.21.238  4472832 Bytes  01.02.2012 09:30:56
VBASE004.VDF   : 7.11.26.44   4329472 Bytes  28.03.2012 09:30:56
VBASE005.VDF   : 7.11.29.136  2166272 Bytes  10.05.2012 09:30:56
VBASE006.VDF   : 7.11.29.137     2048 Bytes  10.05.2012 09:30:56
VBASE007.VDF   : 7.11.29.138     2048 Bytes  10.05.2012 09:30:56
VBASE008.VDF   : 7.11.29.139     2048 Bytes  10.05.2012 09:30:56
VBASE009.VDF   : 7.11.29.140     2048 Bytes  10.05.2012 09:30:56
VBASE010.VDF   : 7.11.29.141     2048 Bytes  10.05.2012 09:30:56
VBASE011.VDF   : 7.11.29.142     2048 Bytes  10.05.2012 09:30:56
VBASE012.VDF   : 7.11.29.143     2048 Bytes  10.05.2012 09:30:56
VBASE013.VDF   : 7.11.29.144     2048 Bytes  10.05.2012 09:30:56
VBASE014.VDF   : 7.11.30.3     198144 Bytes  14.05.2012 09:30:56
VBASE015.VDF   : 7.11.30.69    186368 Bytes  17.05.2012 09:30:56
VBASE016.VDF   : 7.11.30.143   223744 Bytes  21.05.2012 09:30:56
VBASE017.VDF   : 7.11.30.207   287744 Bytes  23.05.2012 09:30:56
VBASE018.VDF   : 7.11.31.57    188416 Bytes  28.05.2012 09:30:56
VBASE019.VDF   : 7.11.31.111   214528 Bytes  30.05.2012 09:30:56
VBASE020.VDF   : 7.11.31.151   116736 Bytes  31.05.2012 09:30:56
VBASE021.VDF   : 7.11.31.205   134144 Bytes  03.06.2012 09:30:56
VBASE022.VDF   : 7.11.32.9     169472 Bytes  05.06.2012 09:30:56
VBASE023.VDF   : 7.11.32.85    155648 Bytes  08.06.2012 09:30:56
VBASE024.VDF   : 7.11.32.133   127488 Bytes  11.06.2012 09:30:56
VBASE025.VDF   : 7.11.32.171   182784 Bytes  12.06.2012 09:30:56
VBASE026.VDF   : 7.11.32.172     2048 Bytes  12.06.2012 09:30:56
VBASE027.VDF   : 7.11.32.173     2048 Bytes  12.06.2012 09:30:56
VBASE028.VDF   : 7.11.32.174     2048 Bytes  12.06.2012 09:30:56
VBASE029.VDF   : 7.11.32.175     2048 Bytes  12.06.2012 09:30:56
VBASE030.VDF   : 7.11.32.176     2048 Bytes  12.06.2012 09:30:56
VBASE031.VDF   : 7.11.32.190    26112 Bytes  13.06.2012 09:30:56
Engineversion  : 8.2.10.80 
AEVDF.DLL      : 8.1.2.8       106867 Bytes  13.06.2012 09:35:52
AESCRIPT.DLL   : 8.1.4.24      450939 Bytes  13.06.2012 09:35:52
AESCN.DLL      : 8.1.8.2       131444 Bytes  16.02.2012 16:11:36
AESBX.DLL      : 8.2.5.10      606580 Bytes  13.06.2012 09:35:52
AERDL.DLL      : 8.1.9.15      639348 Bytes  20.01.2012 23:21:32
AEPACK.DLL     : 8.2.16.16     807288 Bytes  13.06.2012 09:35:52
AEOFFICE.DLL   : 8.1.2.28      201082 Bytes  26.04.2012 16:41:32
AEHEUR.DLL     : 8.1.4.36     4874615 Bytes  13.06.2012 09:35:52
AEHELP.DLL     : 8.1.21.0      254326 Bytes  13.06.2012 09:35:52
AEGEN.DLL      : 8.1.5.28      422260 Bytes  26.04.2012 16:41:31
AEEXP.DLL      : 8.1.0.44       82293 Bytes  13.06.2012 09:35:52
AEEMU.DLL      : 8.1.3.0       393589 Bytes  20.01.2012 23:21:29
AECORE.DLL     : 8.1.25.10     201080 Bytes  13.06.2012 09:35:52
AEBB.DLL       : 8.1.1.0        53618 Bytes  20.01.2012 23:21:28
AVWINLL.DLL    : 12.3.0.15      27344 Bytes  01.05.2012 22:59:21
AVPREF.DLL     : 12.3.0.15      51920 Bytes  01.05.2012 22:44:31
AVREP.DLL      : 12.3.0.15     179208 Bytes  01.05.2012 22:13:35
AVARKT.DLL     : 12.3.0.15     211408 Bytes  01.05.2012 22:21:32
AVEVTLOG.DLL   : 12.3.0.15     169168 Bytes  01.05.2012 22:28:49
SQLITE3.DLL    : 3.7.0.1       398288 Bytes  16.04.2012 21:11:02
AVSMTP.DLL     : 12.3.0.15      63440 Bytes  01.05.2012 22:51:35
NETNT.DLL      : 12.3.0.15      17104 Bytes  01.05.2012 23:33:29
RCIMAGE.DLL    : 12.3.0.15    4447952 Bytes  02.05.2012 00:03:51
RCTEXT.DLL     : 12.3.0.15      98512 Bytes  02.05.2012 00:03:51

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Manuelle Auswahl
Konfigurationsdatei...................: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\PROFILES\folder.avp
Protokollierung.......................: standard
Primäre Aktion........................: löschen
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: F:, 
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: aus
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: vollständig

Beginn des Suchlaufs: Donnerstag, 14. Juni 2012  01:50

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD1
    [INFO]      Es wurde kein Virus gefunden!
Masterbootsektor HD2
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'F:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ssonsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EngineServer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1398' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'F:\'
F:\Dokumente und Einstellungen\Maja\Anwendungsdaten\avcodec-54.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 5332be69.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\Set.jar-fd6fcdc-55ce0bd7.zip
  [0] Archivtyp: ZIP
  --> ehsa/F.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/2012-0507.BL
  --> ehsa/ter.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.98
  --> ehsa/ehsb.class
      [FUND]      Enthält Erkennungsmuster des Exploits EXP/CVE-2012-0507.A.78
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4bd4853d.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\Dokumente und Einstellungen\Maja\Eigene Dateien\Maja Privat\Sonstiges\Hacker\WGA_Hacker_2[1].00_PCP.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Sohanad.X.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 19dcc159.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\Programme\Nokia\Nokia Ovi Suite\Help\webhelp.jar
  [WARNUNG]   Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt  (multiple volume)
F:\System Volume Information\_restore{2D958F7D-98CC-4368-90B3-5D06A0A20A08}\RP11\A0006322.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 7ff88319.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{2D958F7D-98CC-4368-90B3-5D06A0A20A08}\RP11\A0006323.exe
  [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Sohanad.X.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 3a7cae27.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP887\A0077325.dll
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 45679c3d.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP888\A0077336.dll
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 09dfb076.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP888\A0077356.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 75c7f026.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP888\snapshot\MFEX-1.DAT
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 588ada2a.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP889\A0077362.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 41f5e4f3.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP889\A0077380.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 2da9c8c3.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP889\snapshot\MFEX-1.DAT
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 5c07f417.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP890\A0077392.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 520ac19f.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP890\A0077393.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 1723b8dd.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP890\A0077409.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 1e28bc75.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP890\A0077410.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4669a51c.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP890\A0077418.dll
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 6a9ddcd0.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP890\A0077431.dll
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 5463bc0b.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP890\A0077432.dll
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 376d9778.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP890\A0077433.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 11a5d765.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP890\A0077445.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 2331acc7.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP890\A0077446.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 297487b9.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP890\snapshot\MFEX-1.DAT
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 1630e68b.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP891\A0077467.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 680befd9.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP891\A0077468.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 3d73eb12.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP891\snapshot\MFEX-1.DAT
  [FUND]      Ist das Trojanische Pferd TR/Mediyes.EB
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 30f29f49.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP892\A0077489.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 2cb88e2d.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP892\A0077490.sys
  [FUND]      Ist das Trojanische Pferd TR/Mediyes.EB
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 1d6bc3e3.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP892\A0077505.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 713dd7d4.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP892\snapshot\MFEX-1.DAT
  [FUND]      Ist das Trojanische Pferd TR/Mediyes.EB
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 38b0f7bd.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP893\A0077568.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 6332fa07.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP893\A0077569.sys
  [FUND]      Ist das Trojanische Pferd TR/Mediyes.EB
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0580f6ee.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP894\A0077588.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 520e8444.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP895\A0077658.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 707ed33c.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP895\A0077659.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 186ea9ab.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP896\A0077683.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 3818ad29.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP896\A0077694.dll
  [FUND]      Ist das Trojanische Pferd TR/Graftor.20485.3
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 6d3ceb9c.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP896\A0077695.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0c1cca23.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP898\A0077738.dll
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 69b08895.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP899\A0077772.dll
  [FUND]      Ist das Trojanische Pferd TR/ATRAPS.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0c67fc35.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP899\A0077773.dll
  [FUND]      Ist das Trojanische Pferd TR/Graftor.20485.3
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 1f83c0a5.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP899\A0077774.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0d3abc18.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP899\snapshot\MFEX-2.DAT
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 1a7ddae9.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP900\A0077798.dll
  [FUND]      Ist das Trojanische Pferd TR/Graftor.20485.3
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4048ed3c.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP900\A0077799.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 65459729.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP900\snapshot\MFEX-1.DAT
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 11098a1c.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP901\A0077812.dll
  [FUND]      Ist das Trojanische Pferd TR/Graftor.20485.22
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 331cddd5.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP901\A0077813.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 468fa5cd.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP901\snapshot\MFEX-1.DAT
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 6dcffc8f.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP904\A0078862.dll
  [FUND]      Ist das Trojanische Pferd TR/Graftor.20485.22
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0abfb19d.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP904\A0078863.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 41cf888b.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP905\A0078889.dll
  [FUND]      Ist das Trojanische Pferd TR/Graftor.20485.22
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 413182de.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP905\A0078890.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0b9ed7cf.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP905\snapshot\MFEX-1.DAT
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 65a0fd71.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP912\A0080049.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 2897a66f.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP912\A0080050.sys
  [FUND]      Ist das Trojanische Pferd TR/Rootkit.Gen
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 40b38157.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP912\A0080061.dll
  [FUND]      Ist das Trojanische Pferd TR/Crypt.ZPACK.Gen2
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 3a02bb9e.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP912\snapshot\MFEX-1.DAT
  [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Medyies.ver
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4b47e2b9.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0081846.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 3bb7cdb4.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0082846.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 40c7b1e1.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0082851.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0e9cc28b.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0082856.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 70e7b9ad.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0082861.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 047d91de.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0082866.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0f49cdb7.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0082871.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 5c91de75.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0083871.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 39f8f51f.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0083876.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 1103a5bd.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0083881.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 65a0fc07.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0083887.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 2aad848d.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0083892.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 1579dd2b.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0083897.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 6f4fde9d.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP934\A0084897.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 3f47d9ed.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP935\A0085897.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 694fd3ae.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP935\A0085902.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 2effd77d.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP935\A0086902.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0db3b9ff.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP935\A0087902.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a389011.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP935\A0088902.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 385cc385.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP935\A0089902.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 13338093.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP935\A0090902.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 50aa8e2c.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP935\A0091902.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 1a64f714.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP936\A0091907.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 172ce9b3.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP936\A0092907.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 38c6a15d.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP936\A0093907.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 0702e837.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP936\A0094907.dll
  [FUND]      Ist das Trojanische Pferd TR/Agent.ewu.1
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 38e5fead.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\WINDOWS\system32\jpg9msdo.dll
  [FUND]      Ist das Trojanische Pferd TR/Graftor.20485.17
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 5d758bfb.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.
F:\WINDOWS\system32\ntq1neiy.sys
  [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Medyies.ver
  [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 7b5eacf8.qua erstellt ( QUARANTÄNE )
  [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Donnerstag, 14. Juni 2012  02:54
Benötigte Zeit:  1:04:11 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   7546 Verzeichnisse wurden überprüft
 286177 Dateien wurden geprüft
     89 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
     86 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     86 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
 286088 Dateien ohne Befall
   1073 Archive wurden durchsucht
      1 Warnungen
     86 Hinweise

Code:

ATTFilter

 Malwarebytes Anti-Malware  (Test) 1.61.0.1400
www.malwarebytes.org

Datenbank Version: v2012.06.11.05

Windows XP Service Pack 3 x86 FAT (Abgesichertenmodus)
Internet Explorer 8.0.6001.18702
Test :: JUAGHANC573 [Administrator]

Schutz: Deaktiviert

13.06.2012 19:24:15
mbam-log-2012-06-13 (19-24-15).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 348284
Laufzeit: 45 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 1
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore|DisableConfig (Windows.Tool.Disabled) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 12
F:\Dokumente und Einstellungen\Maja\Anwendungsdaten\1bdc8aa.exe (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\Dokumente und Einstellungen\Maja\Lokale Einstellungen\Temp\opret0l.exe (Trojan.Agent.SZ) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP899\snapshot\MFEX-1.DAT (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP904\A0077867.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP904\A0078861.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP906\A0079926.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP907\A0079946.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP907\snapshot\MFEX-1.DAT (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP908\A0079981.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP909\A0079990.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\System Volume Information\_restore{B997C81A-7E06-4EE1-9CF4-7E763E5F70BD}\RP909\snapshot\MFEX-1.DAT (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.
F:\WINDOWS\system32\aptwczeb0.dll (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

Mit dem ESET online Scanner wurde von mir ebenfalls alles so durchgeführt, wie du beschrieben hattest. Die log dazu hier:

Code:

ATTFilter

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=0a382bda70fb1a44bbaf5178d84f786f
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-06-15 04:30:32
# local_time=2012-06-15 06:30:32 (+0100, Westeuropäische Sommerzeit)
# country="Germany"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 0 0 0 0
# compatibility_mode=1792 16777175 100 0 56517 56517 0 0
# compatibility_mode=8192 67108863 100 0 277 277 0 0
# scanned=81052
# found=0
# cleaned=0
# scan_time=6158

Für die weitere Hilfe vielen Dank noch einmal!

MfG
Michael

cosinus · 15.06.2012, 21:07

Hätte da mal zwei Fragen bevor es weiter geht

1.) Geht der normale Modus von Windows (wieder) uneingeschränkt?
2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden?

bobbele89 · 16.06.2012, 07:26

Morgen Arne,

Windows startet im normalen Modus ohne Probleme wieder. Auch sind im Startmenü alle Programme zu sehen und auch keine leeren Ordner sind vorhanden.
Das Problem mit den verschundenen Icons und Verknüpfungen auf dem Desktop hat sich auch erledigt. Es sind alle wieder da. Habe einfach durch Rechtskick auf dem Desktop und entfernen eines Hakens dort alles Wiederbekommen.
Meine Frage an dich ist jetzt kann ich davon ausgehen, dass alles virenfrei ist ?
Oder was sollte ich noch tun, um dies festzustellen?

Wenn du mir einen Rat diesbezüglich geben könntest, wäre das toll.

MfG
Michael

cosinus · 17.06.2012, 20:12

Mach bitte ein neues OTL-Log. Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

CustomScan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:

ATTFilter

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
wininit.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

bobbele89 · 18.06.2012, 08:37

Habe heute Morgen die schritte bei OTL so ausgeführt, wie du beschrieben hattest, und schreibe den Inhalt der OTL.txt hier mit rein.
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 18.06.2012 07:22:17 - Run 1
OTL by OldTimer - Version 3.2.45.0     Folder = F:\
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
511,23 Mb Total Physical Memory | 230,57 Mb Available Physical Memory | 45,10% Memory free
1,22 Gb Paging File | 0,88 Gb Available in Paging File | 72,41% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 29,29 Gb Total Space | 12,88 Gb Free Space | 43,98% Space Free | Partition Type: NTFS
Drive E: | 45,23 Gb Total Space | 31,23 Gb Free Space | 69,03% Space Free | Partition Type: NTFS
Drive F: | 1,88 Gb Total Space | 1,56 Gb Free Space | 82,79% Space Free | Partition Type: FAT
 
Computer Name: WINXP | User Name: Maja | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.06.01 14:27:20 | 000,595,968 | ---- | M] (OldTimer Tools) -- F:\OTL.exe
PRC - [2012.05.04 19:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
PRC - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.05.02 00:31:35 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.04.24 02:11:55 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.01.17 11:07:54 | 000,252,296 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.04.14 04:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2007.09.11 16:50:28 | 000,804,144 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\StCenter.exe
PRC - [2007.09.07 12:06:46 | 001,070,384 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\FwebProt.exe
PRC - [2007.09.04 11:14:34 | 000,087,344 | ---- | M] (AVM Berlin) -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE
PRC - [2005.11.09 16:54:00 | 000,589,824 | ---- | M] (Ralink Technology, Corp.) -- C:\Programme\RALINK\Common\RaUI.exe
PRC - [2004.10.08 12:24:42 | 000,217,088 | ---- | M] (Logitech Inc.) -- C:\Programme\Logitech\Video\LogiTray.exe
PRC - [2004.10.08 12:07:06 | 000,192,512 | ---- | M] (Logitech Inc.) -- C:\Programme\Logitech\Video\FxSvr2.exe
PRC - [2004.10.08 11:52:32 | 000,221,184 | ---- | M] (Logitech Inc.) -- C:\WINDOWS\system32\LVCOMSX.EXE
PRC - [2004.07.27 17:01:36 | 000,068,096 | ---- | M] (Realtek Semiconductor Corp.) -- C:\WINDOWS\SOUNDMAN.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.04.16 23:11:02 | 000,398,288 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2012.04.04 07:53:56 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Programme\Google\Update\GoogleUpdate.exe /svc -- (gupdate) Google Update Service (gupdate)
SRV - [2012.06.15 16:39:20 | 000,241,664 | ---- | M] (Parental Solutions Inc.) [Auto | Running] -- C:\WINDOWS\system32\poua3ktnk.dll -- (Dnscache)
SRV - [2012.05.04 19:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.02.29 09:50:48 | 000,158,856 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2011.12.09 22:31:00 | 000,114,000 | ---- | M] (Joosoft.com GmbH) [Auto | Running] -- C:\WINDOWS\system32\UpdSvc.dll -- (Update-Service)
SRV - [2010.01.26 12:41:08 | 000,652,800 | ---- | M] (Nokia) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2008.07.29 19:16:38 | 000,132,096 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe -- (NetTcpPortSharing)
SRV - [2008.04.14 04:23:03 | 000,075,264 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\tlntsvr.exe -- (TlntSvr)
SRV - [2008.04.14 04:22:55 | 000,114,176 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDEdsdm)
SRV - [2008.04.14 04:22:55 | 000,114,176 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\netdde.exe -- (NetDDE)
SRV - [2008.04.14 04:22:38 | 000,033,280 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\clipsrv.exe -- (ClipSrv)
SRV - [2008.04.14 04:22:16 | 000,033,792 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\msgsvc.dll -- (Messenger)
SRV - [2008.04.14 04:22:15 | 000,053,248 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\mprdim.dll -- (RemoteAccess)
SRV - [2008.04.14 04:22:07 | 000,017,408 | ---- | M] (Microsoft Corporation) [Disabled | Stopped] -- C:\WINDOWS\system32\alrsvc.dll -- (Alerter)
SRV - [2007.09.04 11:14:34 | 000,087,344 | ---- | M] (AVM Berlin) [Auto | Running] -- C:\Programme\FRITZ!DSL\IGDCTRL.EXE -- (IGDCTRL)
SRV - [2006.05.09 19:19:27 | 000,069,120 | ---- | M] (element5) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe -- (License Management Service ESD)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Unknown] -- C:\WINDOWS\system32\ntq1neiy.sys -- (ntq1neiy)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2012.04.27 10:20:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.04.25 00:32:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.04.16 21:17:40 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.01.21 14:53:16 | 000,018,048 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2009.12.30 11:30:56 | 000,007,936 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2009.12.30 11:30:48 | 000,022,016 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2009.12.30 11:30:48 | 000,007,936 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2008.08.26 09:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008.04.14 04:02:16 | 000,120,576 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\pcmcia.sys -- (Pcmcia)
DRV - [2008.04.14 03:58:13 | 000,800,384 | ---- | M] (Microsoft Corp., Veritas Software) [Kernel | Disabled | Stopped] -- C:\WINDOWS\system32\drivers\dmboot.sys -- (dmboot)
DRV - [2008.04.13 20:45:29 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2008.04.13 20:32:36 | 000,066,048 | ---- | M] (Microsoft Corporation) [File_System | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\udfs.sys -- (Udfs)
DRV - [2008.01.23 10:19:44 | 000,501,560 | ---- | M] (Protect Software GmbH) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\ACEDRV11.sys -- (acedrv11)
DRV - [2005.10.27 15:06:00 | 000,356,096 | ---- | M] (Ralink Technology Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\rt61.sys -- (RT61)
DRV - [2005.03.09 15:53:00 | 000,043,008 | ---- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2004.10.08 14:00:59 | 000,211,712 | R--- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LV561AV.SYS -- (PID_0928) Logitech QuickCam Express(PID_0928)
DRV - [2004.10.08 13:57:48 | 000,022,016 | R--- | M] (Logitech Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\LVUSBSta.sys -- (LVUSBSta)
DRV - [2004.08.02 21:09:18 | 000,635,281 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXWDM.SYS -- (ALCXWDM) Service for Realtek AC97 Audio (WDM)
DRV - [2004.07.26 21:19:16 | 000,029,696 | ---- | M] (ULi Electronics Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ULILAN.SYS -- (ULI5261)
DRV - [2004.07.08 15:58:50 | 000,044,928 | ---- | M] (ULi Electronics Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\AGPKX.SYS -- (uliagpkx)
DRV - [2004.02.24 11:08:52 | 000,400,384 | ---- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ALCXSENS.SYS -- (ALCXSENS)
DRV - [2002.12.31 14:00:00 | 000,013,952 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\cbidf2k.sys -- (cbidf2k)
DRV - [2002.12.31 14:00:00 | 000,012,160 | ---- | M] (Microsoft Corporation) [Kernel | Disabled | Stopped] -- C:\WINDOWS\System32\drivers\acpiec.sys -- (ACPIEC)
DRV - [2001.08.17 15:00:04 | 000,002,944 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\msmpu401.sys -- (ms_mpu401)
DRV - [2001.08.17 14:51:32 | 000,018,688 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\irsir.sys -- (irsir)
DRV - [2001.08.17 13:53:32 | 000,003,328 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\qv2kux.sys -- (QV2KUX)
DRV - [2001.08.17 12:50:48 | 000,104,064 | ---- | M] (Silicon Integrated Systems Corporation) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\sisgrp.sys -- (SiS315)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
IE - HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.gmx.net/home
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = hxxp://go.gmx.net/tab2 [binary data]
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = [Binary data over 100 bytes]
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://service.gmx.net/de/cgi/g.fcgi/application/navigator/?CUSTOMERNO=46999835&t=de1965361379.1333389311.da35d8dc
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\..\SearchScopes\{02DE0852-87A6-462A-B048-A0100E8CF811}: "URL" = hxxp://wa.ui-portal.de/webde/webde/s?produkte.browser.link.ebaysuche&s_brand=webde&t_link=ebaysuche&ns_type=clickin&ns_url=hxxp://rover.ebay.com/rover/1/707-52222-30040-5/4?mpre=hxxp://shop.ebay.de/?_sacat=See-All-Categories&_nkw={searchTerms}
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\..\SearchScopes\{362190AA-1F87-433A-ACBB-B31E62072F4A}: "URL" = hxxp://suche.web.de/search/web/?su={searchTerms}&origin=searchplugin
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\..\SearchScopes\{4B25920F-B1F6-4837-BB28-47A88921D5F2}: "URL" = hxxp://go.web.de/suchbox/ie_amazon/?keywords={searchTerms}
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-1229272821-651377827-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.5.1: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.5.1: C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Programme\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}: C:\Programme\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\ [2010.04.08 22:13:13 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}: C:\Programme\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension\ [2010.04.08 22:13:16 | 000,000,000 | ---D | M]
 
 
O1 HOSTS File: ([2012.06.14 16:10:30 | 000,000,098 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll (Google Inc.)
O2 - BHO: (GMX Toolbar BHO) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Programme\GMX Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O2 - BHO: (WEB.DE Browser Configuration) - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll ()
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Oracle\JavaFX 2.1 Runtime\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (GMX Toolbar) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Programme\GMX Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3 - HKU\S-1-5-21-1229272821-651377827-839522115-1003\..\Toolbar\WebBrowser: (GMX Toolbar) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Programme\GMX Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe (Logitech Inc.)
O4 - HKLM..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe (Logitech Inc.)
O4 - HKLM..\Run: [SoundMan] C:\WINDOWS\SOUNDMAN.EXE (Realtek Semiconductor Corp.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe (Logitech)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe (Ralink Technology, Corp.)
O4 - Startup: C:\Dokumente und Einstellungen\Maja\Startmenü\Programme\Autostart\FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe (AVM Berlin)
O4 - Startup: C:\Dokumente und Einstellungen\Maja\Startmenü\Programme\Autostart\FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (AVM Berlin)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Programme\FRITZ!DSL\\sarah.dll ()
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - C:\Programme\FRITZ!DSL\sarah.dll (AVM Berlin)
O15 - HKU\S-1-5-21-1229272821-651377827-839522115-1003\..Trusted Domains: fritz.box ([]* in Lokales Intranet)
O15 - HKU\S-1-5-21-1229272821-651377827-839522115-1003\..Trusted Ranges: Range1 ([*] in Lokales Intranet)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (Reg Error: Key error.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://active.macromedia.com/flash2/cabs/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{54F50744-2C3A-4CA4-8658-69356A92E090}: DhcpNameServer = 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9D592287-967C-44AD-B85E-6B48F22C5872}: DhcpNameServer = 192.168.2.1
O18 - Protocol\Handler\gmx {8FAF0273-9CA8-4efc-9536-1E35E254D5CD} - C:\Programme\GMX Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Maja\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Maja\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
NetSvcs: 6to4 -  File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe - (Lexware GmbH & Co. KG)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE - (Microsoft Corporation)
MsConfig - StartUpFolder: C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Symantec Fax Starter Edition-Anschluss.lnk - C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE - (Microsoft Corporation)
MsConfig - StartUpReg: 1und1Dispatcher - hkey= - key= - C:\Programme\1und1Softwareaktualisierung\SchedDispatcher.exe (1&1 Mail & Media GmbH)
MsConfig - StartUpReg: Adobe ARM - hkey= - key= - C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
MsConfig - StartUpReg: CTFMON.EXE - hkey= - key= -  File not found
MsConfig - StartUpReg: LogitechSoftwareUpdate - hkey= - key= - C:\Programme\Logitech\Video\ManifestEngine.exe (Logitech Inc.)
MsConfig - StartUpReg: LVCOMSX - hkey= - key= -  File not found
MsConfig - StartUpReg: MSMSGS - hkey= - key= - C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)
MsConfig - StartUpReg: NeroFilterCheck - hkey= - key= -  File not found
MsConfig - StartUpReg: NokiaMServer - hkey= - key= - C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe (Nokia)
MsConfig - StartUpReg: NokiaMusic FastStart - hkey= - key= - C:\Programme\Nokia\Ovi Player\NokiaOviPlayer.exe (Nokia)
MsConfig - StartUpReg: Skype - hkey= - key= - C:\Programme\Skype\Phone\Skype.exe (Skype Technologies S.A.)
MsConfig - StartUpReg: SunJavaUpdateSched - hkey= - key= -  File not found
MsConfig - StartUpReg: swg - hkey= - key= - C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (Google Inc.)
MsConfig - State: "system.ini" - 0
MsConfig - State: "win.ini" - 0
MsConfig - State: "bootini" - 0
MsConfig - State: "services" - 0
MsConfig - State: "startup" - 2
 
 
 
ActiveX: {0213C6AF-5562-4D09-884C-2ADCFC8C2F35} - Microsoft .NET Framework 1.1 Security Update (KB2656353)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {1897C549-AE52-4571-8996-44854F5612B2} - Microsoft .NET Framework 1.1 Security Update (KB2656370)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2A3320D6-C805-4280-B423-B665BDE33D8F} - Microsoft .NET Framework 1.1 Security Update (KB979906)
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {411EDCF7-755D-414E-A74B-3DCD6583F589} - Microsoft .NET Framework 1.1 Service Pack 1 (KB867460)
ActiveX: {412EF925-3539-44AE-B9EC-F79D4E8DBE54} - GMX Browser Add-on
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {807807B9-3691-8C0C-14D1-FD91A902C19D} - Windows Media Player
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F} - .NET Framework
ActiveX: {C314CE45-3392-3B73-B4E1-139CD41CA933} - .NET Framework
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
ActiveX: >{BEE825F4-60F4-4336-AD47-D87425B5E9C6} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
 
Drivers32: msacm.iac2 - C:\WINDOWS\system32\iac25_32.ax (Intel Corporation)
Drivers32: msacm.l3acm - C:\WINDOWS\system32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: msacm.sl_anet - C:\WINDOWS\System32\sl_anet.acm (Sipro Lab Telecom Inc.)
Drivers32: msacm.trspch - C:\WINDOWS\System32\tssoft32.acm (DSP GROUP, INC.)
Drivers32: MSVideo - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: MSVideo8 - C:\WINDOWS\System32\vfwwdm32.dll (Microsoft Corporation)
Drivers32: vidc.cvid - C:\WINDOWS\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.iv31 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv32 - C:\WINDOWS\System32\ir32_32.dll ()
Drivers32: vidc.iv41 - C:\WINDOWS\System32\ir41_32.ax (Intel Corporation)
Drivers32: vidc.iv50 - C:\WINDOWS\System32\ir50_32.dll (Intel Corporation)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.06.16 18:40:57 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2012.06.16 18:22:39 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Maja\IECompatCache
[2012.06.16 18:21:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Maja\Lokale Einstellungen\Anwendungsdaten\Sun
[2012.06.16 14:41:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sun
[2012.06.16 14:41:36 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Java
[2012.06.16 14:39:56 | 000,000,000 | ---D | C] -- C:\Programme\Oracle
[2012.06.16 14:39:16 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Oracle
[2012.06.16 14:36:51 | 000,000,000 | ---D | C] -- C:\Programme\Java
[2012.06.15 16:39:20 | 000,241,664 | ---- | C] (Parental Solutions Inc.) -- C:\WINDOWS\System32\poua3ktnk.dll
[2012.06.15 11:05:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\pss
[2012.06.15 03:20:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Malwarebytes
[2012.06.15 03:19:47 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.06.15 01:25:12 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\NtmsData
[2012.06.15 01:12:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Avira
[2012.06.15 01:07:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Avira
[2012.06.15 01:06:31 | 000,137,928 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avipbb.sys
[2012.06.15 01:06:31 | 000,036,000 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avkmgr.sys
[2012.06.15 01:06:30 | 000,083,392 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\drivers\avgntflt.sys
[2012.06.15 01:05:59 | 000,000,000 | ---D | C] -- C:\Programme\Avira
[2012.06.15 01:05:59 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
[2012.06.14 17:45:01 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2012.06.14 16:10:29 | 000,000,000 | ---D | C] -- C:\_OTL
[2012.05.30 14:23:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Maja\Desktop\WinFit
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Maja\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Maja\Eigene Dateien\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.06.18 07:15:29 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.06.16 15:18:14 | 000,185,016 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.06.16 15:14:24 | 000,468,268 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2012.06.16 15:14:24 | 000,450,336 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2012.06.16 15:14:24 | 000,088,476 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2012.06.16 15:14:24 | 000,075,144 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2012.06.16 14:56:51 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.06.16 14:11:50 | 000,000,211 | -HS- | M] () -- C:\boot.ini
[2012.06.15 16:39:20 | 000,241,664 | ---- | M] (Parental Solutions Inc.) -- C:\WINDOWS\System32\poua3ktnk.dll
[2012.06.15 11:10:23 | 000,002,513 | ---- | M] () -- C:\Dokumente und Einstellungen\Maja\Desktop\Microsoft Excel.lnk
[2012.06.15 11:10:13 | 000,002,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Maja\Desktop\Microsoft Word.lnk
[2012.06.15 01:07:50 | 000,001,671 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2012.06.14 17:45:04 | 000,001,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Maja\Desktop\CCleaner.lnk
[2012.06.14 17:19:38 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.06.14 10:21:42 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.06.01 12:34:12 | 000,001,044 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2012.05.25 09:56:31 | 000,028,160 | ---- | M] () -- C:\Dokumente und Einstellungen\Maja\Eigene Dateien\Sicherungskopie von inkie song.wbk
[2012.05.25 09:39:11 | 000,026,112 | ---- | M] () -- C:\Dokumente und Einstellungen\Maja\Eigene Dateien\Sicherungskopie von Inkie song Nederlands Deutsch.wbk
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Maja\Eigene Dateien\*.tmp files -> C:\Dokumente und Einstellungen\Maja\Eigene Dateien\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.06.15 01:07:50 | 000,001,671 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Avira Control Center.lnk
[2012.06.14 17:45:04 | 000,001,512 | ---- | C] () -- C:\Dokumente und Einstellungen\Maja\Desktop\CCleaner.lnk
[2012.06.14 10:21:28 | 000,000,664 | ---- | C] () -- C:\WINDOWS\System32\d3d9caps.dat
[2012.05.24 22:45:50 | 000,026,112 | ---- | C] () -- C:\Dokumente und Einstellungen\Maja\Eigene Dateien\Sicherungskopie von Inkie song Nederlands Deutsch.wbk
[2012.05.23 21:04:46 | 000,028,160 | ---- | C] () -- C:\Dokumente und Einstellungen\Maja\Eigene Dateien\Sicherungskopie von inkie song.wbk
[2011.12.10 05:00:34 | 001,431,120 | ---- | C] () -- C:\WINDOWS\System32\ieconfig_1und1.dll
[2011.07.13 15:23:06 | 000,000,152 | ---- | C] () -- C:\WINDOWS\Missing.ini
[2010.07.02 13:57:31 | 000,000,056 | -H-- | C] () -- C:\WINDOWS\System32\ezsidmv.dat
 
========== LOP Check ==========
 
[2006.05.09 19:19:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\element5
[2012.02.23 20:37:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IEConfiguration1und1
[2006.04.29 16:51:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
[2010.04.07 22:57:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NokiaMusic
[2010.04.08 22:03:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OviInstallerCache
[2010.04.08 22:39:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2012.02.23 20:37:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UUdb
[2012.02.23 20:37:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\1&1 Mail & Media GmbH
[2006.05.05 11:49:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\FotoWire
[2012.06.17 10:18:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\FRITZ!
[2007.06.09 12:48:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\MAGIX
[2010.04.08 22:47:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Nokia
[2012.06.16 14:39:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Oracle
[2010.04.08 22:49:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\PC Suite
[2012.01.21 21:20:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\PhotoScape
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2012.02.23 20:37:17 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\1&1 Mail & Media GmbH
[2012.02.11 18:19:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Adobe
[2007.12.18 21:40:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Ahead
[2012.06.15 01:12:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Avira
[2006.05.05 11:49:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\FotoWire
[2012.06.17 10:18:36 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\FRITZ!
[2006.04.29 16:59:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Google
[2010.11.04 13:14:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Help
[2006.04.29 17:06:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Identities
[2006.04.29 16:45:41 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Macromedia
[2007.06.09 12:48:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\MAGIX
[2012.06.15 03:20:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Malwarebytes
[2012.02.11 18:19:48 | 000,000,000 | --SD | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Microsoft
[2006.04.29 11:29:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Microsoft Web Folders
[2010.04.08 22:47:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Nokia
[2012.06.16 14:39:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Oracle
[2010.04.08 22:49:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\PC Suite
[2012.01.21 21:20:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\PhotoScape
[2012.06.15 11:06:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Skype
[2011.11.10 09:21:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\skypePM
[2006.05.05 19:24:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Sun
[2007.07.08 15:41:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\U3
 
< %APPDATA%\*.exe /s >
[2006.05.13 19:05:22 | 000,001,078 | R--- | M] () -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Microsoft\Installer\{100046B3-23E7-11D8-9FA0-000B6A13D5B0}\ARPPRODUCTICON.exe
[2006.05.13 19:05:22 | 000,013,312 | R--- | M] () -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Microsoft\Installer\{100046B3-23E7-11D8-9FA0-000B6A13D5B0}\NewShortcut1_B8E769E3B3FC11D5B6EB008048CD001E.exe
[2006.05.13 19:05:22 | 000,009,728 | R--- | M] () -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Microsoft\Installer\{100046B3-23E7-11D8-9FA0-000B6A13D5B0}\NewShortcut2_B8E769E3B3FC11D5B6EB008048CD001E.exe
[2006.05.13 19:05:22 | 000,009,728 | R--- | M] () -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Microsoft\Installer\{100046B3-23E7-11D8-9FA0-000B6A13D5B0}\NewShortcut3_B8E769E3B3FC11D5B6EB008048CD001E.exe
[2006.05.13 19:05:22 | 000,013,312 | R--- | M] () -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Microsoft\Installer\{100046B3-23E7-11D8-9FA0-000B6A13D5B0}\NewShortcut4_B8E769E3B3FC11D5B6EB008048CD001E.exe
[2006.05.13 19:05:22 | 000,009,728 | R--- | M] () -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Microsoft\Installer\{100046B3-23E7-11D8-9FA0-000B6A13D5B0}\NewShortcut5_B8E769E3B3FC11D5B6EB008048CD001E.exe
[2006.05.13 19:05:22 | 000,013,312 | R--- | M] () -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Microsoft\Installer\{100046B3-23E7-11D8-9FA0-000B6A13D5B0}\NewShortcut6_B8E769E3B3FC11D5B6EB008048CD001E.exe
[2006.05.13 19:05:22 | 000,009,728 | R--- | M] () -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\Microsoft\Installer\{100046B3-23E7-11D8-9FA0-000B6A13D5B0}\NewShortcut7_B8E769E3B3FC11D5B6EB008048CD001E.exe
[2006.12.14 10:00:02 | 000,110,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\U3\temp\cleanup.exe
[2007.02.12 17:46:54 | 003,096,576 | -H-- | M] (SanDisk Corporation) -- C:\Dokumente und Einstellungen\Maja\Anwendungsdaten\U3\temp\Launchpad Removal.exe
 
< %SYSTEMDRIVE%\*.exe >
 
< MD5 for: AGP440.SYS  >
[2002.12.31 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:AGP440.sys
[2009.02.15 23:11:28 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:AGP440.sys
[2009.02.15 23:11:28 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:AGP440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\ServicePackFiles\i386\agp440.sys
[2008.04.13 20:36:38 | 000,042,368 | ---- | M] (Microsoft Corporation) MD5=08FD04AA961BDC77FB983F328334E3D7 -- C:\WINDOWS\system32\drivers\agp440.sys
 
< MD5 for: ATAPI.SYS  >
[2002.12.31 14:00:00 | 018,782,319 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys
[2009.02.15 23:11:28 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp3.cab:atapi.sys
[2009.02.15 23:11:28 | 023,898,261 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp3.cab:atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys
[2008.04.13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys
[2002.12.31 14:00:00 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\i386\atapi.sys
 
< MD5 for: EVENTLOG.DLL  >
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\ServicePackFiles\i386\eventlog.dll
[2008.04.14 04:22:10 | 000,056,320 | ---- | M] (Microsoft Corporation) MD5=04955AA695448C181B367D964AF158AA -- C:\WINDOWS\system32\eventlog.dll
 
< MD5 for: NETLOGON.DLL  >
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\ServicePackFiles\i386\netlogon.dll
[2008.04.14 04:22:19 | 000,407,040 | ---- | M] (Microsoft Corporation) MD5=0098D35F91DEAB9C127360A877F2CF84 -- C:\WINDOWS\system32\netlogon.dll
 
< MD5 for: SCECLI.DLL  >
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\ServicePackFiles\i386\scecli.dll
[2008.04.14 04:22:23 | 000,187,904 | ---- | M] (Microsoft Corporation) MD5=5132443DF6FC3771A17AB4AE55DCBC28 -- C:\WINDOWS\system32\scecli.dll
 
< MD5 for: USER32.DLL  >
[2005.03.02 20:19:56 | 000,578,560 | ---- | M] (Microsoft Corporation) MD5=4C90159A69A5FD3EB39C71411F28FCFF -- C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
[2007.03.08 17:48:39 | 000,579,584 | ---- | M] (Microsoft Corporation) MD5=78785EFF8CB90CEC1862A4CCFD9A3C3A -- C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\ServicePackFiles\i386\user32.dll
[2008.04.14 04:22:31 | 000,580,096 | ---- | M] (Microsoft Corporation) MD5=B0050CC5340E3A0760DD8B417FF7AEBD -- C:\WINDOWS\system32\user32.dll
 
< MD5 for: USERINIT.EXE  >
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\ServicePackFiles\i386\userinit.exe
[2008.04.14 04:23:03 | 000,026,624 | ---- | M] (Microsoft Corporation) MD5=788F95312E26389D596C0FA55834E106 -- C:\WINDOWS\system32\userinit.exe
 
< MD5 for: WINLOGON.EXE  >
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
[2008.04.14 04:23:05 | 000,513,024 | ---- | M] (Microsoft Corporation) MD5=F09A527B422E25C478E38CAA0E44417A -- C:\WINDOWS\system32\winlogon.exe
 
< MD5 for: WS2IFSL.SYS  >
[2002.12.31 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\dllcache\ws2ifsl.sys
[2002.12.31 14:00:00 | 000,012,032 | ---- | M] (Microsoft Corporation) MD5=6ABE6E225ADB5A751622A9CC3BC19CE8 -- C:\WINDOWS\system32\drivers\ws2ifsl.sys
 
< %systemroot%\system32\drivers\*.sys /lockedfiles >
 
< %systemroot%\System32\config\*.sav >
[2006.04.29 18:32:48 | 000,094,208 | ---- | M] () -- C:\WINDOWS\System32\config\default.sav
[2006.04.29 18:32:48 | 000,663,552 | ---- | M] () -- C:\WINDOWS\System32\config\software.sav
[2006.04.29 18:32:47 | 000,434,176 | ---- | M] () -- C:\WINDOWS\System32\config\system.sav
 
< %systemroot%\*. /mp /s >
 
< %systemroot%\system32\*.dll /lockedfiles >
[1 C:\WINDOWS\system32\*.tmp files -> C:\WINDOWS\system32\*.tmp -> ]

< End of report >

--- --- ---

Wenn du mir anhand des log mitteilen, könntest das jetzt alles virenfrei ist würde ich mich darüber unheimlich freuen.

MfG
Michael

cosinus · 18.06.2012, 11:10

Mach einen OTL-Fix, beende alle evtl. geöffneten Programme, auch Virenscanner deaktivieren (!), starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:

ATTFilter

:OTL
DRV - File not found [Kernel | System | Unknown] -- C:\WINDOWS\system32\ntq1neiy.sys -- (ntq1neiy)
O2 - BHO: (GMX Toolbar BHO) - {BF42D4A8-016E-4fcd-B1EB-837659FD77C6} - C:\Programme\GMX Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O2 - BHO: (WEB.DE Browser Configuration) - {D48FF4B4-E68F-47D1-8E25-81A0F0EEB341} - C:\WINDOWS\system32\ieconfig_1und1.dll ()
O3 - HKLM\..\Toolbar: (GMX Toolbar) - {C424171E-592A-415a-9EB1-DFD6D95D3530} - C:\Programme\GMX Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
O3 - HKU\S-1-5-21-1229272821-651377827-839522115-1003\..\Toolbar\WebBrowser: (GMX Toolbar) - {C424171E-592A-415A-9EB1-DFD6D95D3530} - C:\Programme\GMX Toolbar\IE\uitb.dll (1und1 Mail und Media GmbH)
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]

Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

bobbele89 · 18.06.2012, 18:02

Hallo Arne,

hier poste ich dir den Inhalt des OTL Logfile nachdem ich den Fix durchgeführt hatte.

Code:

ATTFilter

All processes killed
========== OTL ==========
Error: No service named ntq1neiy was found to stop!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ntq1neiy deleted successfully.
File C:\WINDOWS\system32\ntq1neiy.sys not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BF42D4A8-016E-4fcd-B1EB-837659FD77C6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BF42D4A8-016E-4fcd-B1EB-837659FD77C6}\ deleted successfully.
C:\Programme\GMX Toolbar\IE\uitb.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D48FF4B4-E68F-47D1-8E25-81A0F0EEB341}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D48FF4B4-E68F-47D1-8E25-81A0F0EEB341}\ deleted successfully.
C:\WINDOWS\system32\ieconfig_1und1.dll moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\{C424171E-592A-415a-9EB1-DFD6D95D3530} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C424171E-592A-415a-9EB1-DFD6D95D3530}\ deleted successfully.
File C:\Programme\GMX Toolbar\IE\uitb.dll not found.
Registry value HKEY_USERS\S-1-5-21-1229272821-651377827-839522115-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{C424171E-592A-415A-9EB1-DFD6D95D3530} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C424171E-592A-415A-9EB1-DFD6D95D3530}\ not found.
File C:\Programme\GMX Toolbar\IE\uitb.dll not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: dbagadm
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Maja
->Temp folder emptied: 11717858 bytes
->Temporary Internet Files folder emptied: 70068171 bytes
->Java cache emptied: 65249682 bytes
->Flash cache emptied: 97897 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 81008428 bytes
RecycleBin emptied: 166056982 bytes
 
Total Files Cleaned = 378,00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: dbagadm
 
User: Default User
->Flash cache emptied: 0 bytes
 
User: LocalService
 
User: Maja
->Flash cache emptied: 0 bytes
 
User: NetworkService
 
Total Flash Files Cleaned = 0,00 mb
 
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTL by OldTimer - Version 3.2.45.0 log created on 06182012_184925

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

MfG
Michael

cosinus · 18.06.2012, 21:13

Bitte nun (im normalen Windows-Modus) dieses Tool von Kaspersky (TDSS-Killer) ausführen und das Log posten Anleitung und Downloadlink hier => http://www.trojaner-board.de/82358-t...entfernen.html

Hinweis: Bitte den Virenscanner abstellen bevor du den TDSS-Killer ausführst, denn v.a. Avira meldet im TDSS-Tool oft einen Fehalalrm!

Das Tool so einstellen wie unten im Bild angegeben - klick auf change parameters und setze die Haken wie im folgenden Screenshot abgebildet,
Dann auf Start Scan klicken und wenn es durch ist auf den Button Report klicken um das Log anzuzeigen. Dieses bitte komplett posten.
Wenn du das Log nicht findest oder den Inhalt kopieren und in dein Posting übertragen kannst, dann schau bitte direkt auf deiner Windows-Systempartition (meistens Laufwerk C

nach, da speichert der TDSS-Killer seine Logs.

Hinweis: Bitte nichts voreilig mit dem TDSS-Killer löschen! Falls Objekte vom TDSS-Killer bemängelt werden, alle mit der Aktion "skip" behandeln und hier nur das Log posten!

12.06.2012, 16:13	#16
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	BundesTrojaner? PC startet nicht mehr im abgesicherten Modus Sry irgendwie wird's jetzt chaotisch - Du sprichst von OTLPE meinst aber in Wirkllichkeit das normale OTL - Was genau ist jetzt die zweite Platte und was genau hast du da gebootet __________________ Logfiles bitte immer in CODE-Tags posten

15.06.2012, 21:07	#24
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	BundesTrojaner? PC startet nicht mehr im abgesicherten Modus Hätte da mal zwei Fragen bevor es weiter geht 1.) Geht der normale Modus von Windows (wieder) uneingeschränkt? 2.) Vermisst du irgendwas im Startmenü? Sind da leere Ordner unter alle Programme oder ist alles vorhanden? __________________ Logfiles bitte immer in CODE-Tags posten

BundesTrojaner? PC startet nicht mehr im abgesicherten Modus

Plagegeister aller Art und deren Bekämpfung: BundesTrojaner? PC startet nicht mehr im abgesicherten Modus