BKA und seine Kavallerie

Plätterin · 20.07.2012, 10:51

Hallo, nachdem ich seit 1998 eigenständig im Netz bin und seit 1989 am PC hab ich mir doch jetzt erstmals eine echte Seuche eingefangen.
Ich will den Rechner Plattmachen, keine Frage,

die FP ist eh übervoll (nur noch 26 GB frei von 500) da auf ihm 3 Jahre Forschungsarbeit liegenund ein bisschen Sammelleidenschaft für PDF-artikel zu zig anderen Themen. Aber deshalb ist jetzt Datensicherung angesagt. Dazu möchte ich natürlich nichts verschleppen und trage mich derzeit mit dem Gedanken erst mal alle Javasachen zu löschen. (s. unten ab hier erst mal

) Aber da mich bei jeder Virenfrage an Google es hierher gespült hat, frag ich lieber vorher nochmal.

Also es begann am Montag abend, beim Besuch einer offenbar privaten ungepflegten Seite über Heilsteine mit allerlei statischen Werbeanzeigen (leider auch sehr interessantem Inhalt, hätt ich gern noch gelesen) plärrten mich neueste Nachrichten zu Justin Bieber aus dem Lautsprecher an, nix zu sehen wo es herkam. Ich flüchtete zurück zur vorherigen Suchseite aber da war es schon zu Spät.
der Bildschirm füllte sich weiß und oben stand sinngemäß "Seite konnte nicht geladen werden. klicken sie hier um sie neu zu laden"
Ja bin ich denn blöd.
Da ich nichts machen konnte (ESC, DOS-Klaue, etc ) drückte ich also NOT-Aus, sprich dauerdrücken des Einschaltknopfes. Noch während des Runterfahrens sprang Antivir auf, ich konnte es aber zunächst nicht merh lesen (war TR.crypt.xpack.gen8)
Beim erneuten hochfahren sprang wieder Antivir an und meldete DR/delphi.gen, dann kam wieder der weiße Bildschirm, kaum dass er sich ins WLAN eingeloggt hat (macht die Sch**Kiste bisdahin leider automatisch, da vom Service so eingestellt, Bürorechner mit einem normalen Router und einem angehängten Hotspotrouter des Netz-Anbieters), als Schnelllösung erst mal Router aus der Steckdose gezogen und siehe da neues Hochfahren im abgesicherten Modus und ich kam auf die Benutzeroberfläche. Antivir ließ sich natürlich nicht wirklich starten, aber in Ereignisse schauen und Malware Antibyte konnte ich nicht mit rechtsklick>Admin starten, sondern nur normal. Und ohne Netz war auch nix mit Update.
Per Linux-Lappi neue Version und noch ein paar Securityprogramme gezogen auf Stick und schon mal über die beiden namentlich bekannten Viren schlau gemacht. hmm hat anscheinend was mit BKA-Trojaner zu tun, dazu erst mal planlos rumgeschaut.
Zuvor Kranken Rechner wieder runtergefahren, Feierabend abgewartet und nach Hause in WLANfreie Zone verschleppt.
Neues Malware im abgesicherten Modus unupgedatet durchlaufen lassen über Nacht und großen Antivirscan, fanden wie erwartet nix.
Am nächsten Morgen Beide Rechner wieder im Laden. Kranken eingeschaltet und kaum loggt er sich ein lacht mich die BKA-Lösegeldforderung an und nix geht mehr.
Also wie komme ich jetzt an meine Daten? Rechner runtergefahren und über Linuxläppi weiter schlau gemacht. Im Abgesicherten Modus Kapersky Removal tool laufen lassen: fand Trojan-Ransom.win32.Foreign.pln (Endung nicht ganz sicher, kann meine HAndschrift da nicht lesen)
Entfernt und siehe da ich komm wieder an meine Daten.
Einmaliges einloggen ins Netz für allerleih Updates von Win defender, Malware Antibytes und Antivir und dann erst mal WLAN deaktiviert.
Weitere Suchhunde von Stick durchlaufen lassen Avast, kurzer Versuch mit F-secure Live CD (aber doch lieber nicht, denn wenn systemdateien umbenannt werden und der Rechner gar nicht mehr hochfährt sind 3 Jahre Forschung und meine Geschäftsdaten weg) etc.
Neuer Suchlauf mit Antivir brachte 9 Meldungen, und dieses Ergebnis zum in die Quarantäne verschieben.
EXP/2008-5353.DL
EXP/ 2012-0507.DD
TR/Tabfy.A.48 dreimal
EXP/Java.Niabil.gen

Wieso nur 6? waren doch 9?
also Protokolle durchforstet
EXP/PolarNinnies.I
EXP/5353.CS
Java/DLdr.Lamar.ED
wurden zwar gefunden aber nicht behandelt
wieso?

Soweit ich bisher ergooglen konnte haben diese alle etwas mit Java zu tun.
Mein Javaupdate funktionierte schon seit einer Weile nicht, De- und Neuinstallation brachte noch keine Besserung, seither ist mein Rechner mir eh schon verdächtig. Bankin mache ich schon immer von einem anderen aus, der nur dafür genutzt wird oder offline oder für VPN zu Männe seinem Arbeitgeber (vielleicht 3-4x im Jahr) und vor jedem Kontogang upgedatet und durchforstet wird.

Nun meine Frage, kann ich jetzt erst einmal Java deinstallieren, hab ich dann irgendwas gewonnen, um meine Daten zu sichern oder sollte ich sie vom jetzt noch weitgehnd unberührten System sichern und dann lieber das Sicherungsmedium mit dem neu formatierten und aufgespielten Windows + antivir +++ durchchecken, bevor ich die Dateien wieder auf den Rechner spiele?

Muss ich vorher noch irgendwelche Entseuchungsmaßnahmen treffen oder ist es ok jetzt die ExFP anzuschließen?

Und ich brauche einen Passwortgenerator, denn auf die schnelle kriege ich nicht soviele gute merkbare Passwörter aus meinem Hirn. Unmerkbare kann es aber auch nicht, dann lieber mechanisch richtig kryptisch und mit Papiernotiz, bis mir fürdie derzeit aktuellen jeweils was besseres einfällt (Ich wollt eh mal ne Handschriftliche Liste mit allen Mailaccounts, Forenaccounts, Social Dingensen, angefangenen Blogs etc. anlegen, wo ich in den letzten Jahren mit jeweils welcher Mailadresse und Benutzernamen so unterwegs war. So allmählich verlier ich den Überblick

)

Danke fürs Durchhalten bis hierher
LG die Plätterin

t'john · 21.07.2012, 23:06

Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.

Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
Lege eine leere CD in Deinen Brenner.
ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
Du kannst nun die Fenster des Brennprogramms schließen.

Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD

Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
Mache einen Doppelklick auf das OTLPE Icon.
Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
OTLpe sollte nun starten.
Drücke Run Scan, um den Scan zu starten.
Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.

Plätterin · 22.07.2012, 19:16

Hallo T'John,
ich komme seit Kasperskys Virus Removal Tool bereits an den ursprünglich gesperrten Rechner. Ist daher die Bootdisk nötig?
Mein Zweitrechner ist ein Linuxnetbook ohne CD Laufwerk, nur USB-Boot ist damit herstellbar (wenn ich wüsste wie, bisher habe ich nur über den WIndorechner einen Linuxbootstick erstellt, nicht umgekehrt). Einen anderen Windowsrechner habe ich nur zeitweilig zur Verfügung (Kumpel).
Ich habe das normale OTL.exe am Freitag runtergeladen und durchlaufen lassen.
Als Admin ausgeführt aber im betroffenen eingeschränkten Nutzer, Vista Home übrigens.
Die OTL Scans haben also folgendes ergeben:
otl.txt
OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 20.07.2012 13:33:59 - Run 1
OTL by OldTimer - Version 3.2.54.0     Folder = C:\Users\gothic\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 0,85 Gb Available Physical Memory | 42,66% Memory free
4,22 Gb Paging File | 2,69 Gb Available in Paging File | 63,81% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 126,37 Gb Total Space | 24,26 Gb Free Space | 19,19% Space Free | Partition Type: NTFS
Drive D: | 22,66 Gb Total Space | 11,86 Gb Free Space | 52,33% Space Free | Partition Type: FAT32
 
Computer Name: xy-PC | User Name: xy | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.07.20 11:58:02 | 000,596,480 | ---- | M] (OldTimer Tools) -- C:\Users\gothic\Desktop\OTL.exe
PRC - [2012.07.09 13:05:49 | 000,935,008 | ---- | M] () -- C:\Programme\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe
PRC - [2012.05.09 07:42:09 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.09 07:42:00 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2012.05.09 07:41:59 | 000,348,624 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.09 07:41:59 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2011.06.06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2010.03.08 19:30:54 | 000,194,048 | ---- | M] (Telefónica I+D) -- C:\Programme\o2\Mobile Connection Manager\ImpWiFiSvc.exe
PRC - [2009.04.11 08:27:36 | 002,926,592 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2009.01.26 16:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\SDWinSec.exe
PRC - [2008.01.19 09:38:38 | 001,008,184 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Defender\MSASCui.exe
PRC - [2007.11.02 13:35:42 | 002,564,096 | ---- | M] () -- C:\Programme\Softex\OmniPass\scureapp.exe
PRC - [2007.11.02 13:31:24 | 000,069,632 | ---- | M] () -- C:\Programme\Softex\OmniPass\opvapp.exe
PRC - [2007.11.02 13:31:08 | 000,040,960 | ---- | M] (Softex Inc.) -- C:\Programme\Softex\OmniPass\OmniServ.exe
PRC - [2007.10.03 16:45:02 | 000,358,936 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe
PRC - [2007.10.03 16:44:58 | 000,178,712 | ---- | M] (Intel Corporation) -- C:\Programme\Intel\Intel Matrix Storage Manager\IAAnotif.exe
PRC - [2007.09.06 12:23:36 | 000,188,416 | ---- | M] (Wistron) -- C:\Programme\Launch Manager\HotkeyApp.exe
PRC - [2007.09.01 15:03:50 | 000,032,768 | ---- | M] () -- C:\Programme\Launch Manager\LaunchAp.exe
PRC - [2007.08.31 12:04:26 | 000,102,400 | ---- | M] (Synaptics, Inc.) -- C:\Programme\Synaptics\SynTP\SynTPStart.exe
PRC - [2007.08.16 11:31:40 | 001,681,408 | ---- | M] (Buhl Data Service GmbH) -- C:\Programme\Sceneo\AbsolutTV\Services\PVR\pvrservice.exe
PRC - [2006.10.05 13:10:12 | 000,009,216 | ---- | M] (Agere Systems) -- C:\Windows\System32\agrsmsvc.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.01.08 15:41:12 | 000,093,696 | ---- | M] () -- C:\Programme\FileZilla FTP Client\fzshellext.dll
MOD - [2007.11.02 13:36:16 | 000,048,208 | ---- | M] () -- C:\Programme\Softex\OmniPass\hdddrv.dll
MOD - [2007.11.02 13:35:42 | 002,564,096 | ---- | M] () -- C:\Programme\Softex\OmniPass\scureapp.exe
MOD - [2007.11.02 13:28:16 | 000,434,176 | ---- | M] () -- C:\Programme\Softex\OmniPass\userdata.dll
MOD - [2007.11.02 13:28:04 | 001,077,248 | ---- | M] () -- C:\Programme\Softex\OmniPass\autheng.dll
MOD - [2007.11.02 13:27:48 | 000,532,480 | ---- | M] () -- C:\Programme\Softex\OmniPass\storeng.dll
MOD - [2007.11.02 13:27:40 | 000,061,440 | ---- | M] () -- C:\Programme\Softex\OmniPass\scuredll.dll
MOD - [2007.11.02 13:27:38 | 000,065,536 | ---- | M] () -- C:\Programme\Softex\OmniPass\opfsdll.dll
MOD - [2007.11.02 13:27:28 | 000,016,896 | ---- | M] () -- C:\Programme\Softex\OmniPass\cryptodll.dll
MOD - [2007.11.02 13:27:26 | 000,013,824 | ---- | M] () -- C:\Programme\Softex\OmniPass\SSPLogon.dll
MOD - [2007.09.01 15:03:50 | 000,032,768 | ---- | M] () -- C:\Programme\Launch Manager\LaunchAp.exe
 
 
========== Win32 Services (SafeList) ==========
 
SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SBSDWSCService)
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe -- (AVG Security Toolbar Service)
SRV - [2012.07.09 13:05:49 | 000,935,008 | ---- | M] () [Auto | Running] -- C:\Programme\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe -- (vToolbarUpdater11.2.0)
SRV - [2012.05.09 07:42:09 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.09 07:41:59 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012.01.04 13:32:36 | 000,718,888 | ---- | M] (Nokia) [On_Demand | Stopped] -- C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- (ServiceLayer)
SRV - [2011.07.20 06:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2011.06.06 12:55:28 | 000,064,952 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Programme\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2010.04.21 19:46:17 | 000,373,760 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Windows\System32\inetsrv\iisw3adm.dll -- (WAS)
SRV - [2010.04.21 19:46:17 | 000,373,760 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\inetsrv\iisw3adm.dll -- (W3SVC)
SRV - [2010.03.08 19:30:54 | 000,194,048 | ---- | M] (Telefónica I+D) [Auto | Running] -- C:\Programme\o2\Mobile Connection Manager\ImpWiFiSvc.exe -- (TGCM_ImportWiFiSvc)
SRV - [2009.12.12 01:47:44 | 000,036,352 | ---- | M] () [On_Demand | Stopped] -- C:\Programme\OpenVPN\bin\openvpnserv.exe -- (OpenVPNService)
SRV - [2009.04.11 08:28:17 | 000,052,224 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\System32\inetsrv\apphostsvc.dll -- (AppHostSvc)
SRV - [2008.01.19 09:38:24 | 000,272,952 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008.01.19 09:33:39 | 000,896,512 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2007.11.02 13:31:08 | 000,040,960 | ---- | M] (Softex Inc.) [Auto | Running] -- C:\Programme\Softex\OmniPass\OmniServ.exe -- (omniserv)
SRV - [2007.10.03 16:45:02 | 000,358,936 | ---- | M] (Intel Corporation) [Auto | Running] -- C:\Programme\Intel\Intel Matrix Storage Manager\IAANTmon.exe -- (IAANTMON) Intel(R)
SRV - [2007.09.11 16:37:58 | 000,118,784 | ---- | M] (Wistron Corp.) [On_Demand | Stopped] -- C:\Programme\Launch Manager\WisLMSvc.exe -- (WisLMSvc)
SRV - [2007.08.16 11:31:40 | 001,681,408 | ---- | M] (Buhl Data Service GmbH) [Auto | Running] -- C:\Programme\Sceneo\AbsolutTV\Services\PVR\pvrservice.exe -- (srvcPVR)
SRV - [2007.01.19 13:54:14 | 000,097,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\MSN Messenger\usnsvc.exe -- (usnjsvc)
SRV - [2006.10.26 15:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006.10.05 13:10:12 | 000,009,216 | ---- | M] (Agere Systems) [Auto | Running] -- C:\Windows\System32\agrsmsvc.exe -- (AgereModemAudio)
SRV - [2005.11.17 16:18:52 | 001,527,900 | ---- | M] (MAGIX®) [On_Demand | Stopped] -- C:\Programme\ALDI Foto Service Nord\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr)
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio)
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive)
DRV - [2012.05.09 07:42:10 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.05.09 07:42:10 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2011.11.01 10:07:26 | 000,018,176 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2011.11.01 10:07:26 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2011.11.01 10:07:26 | 000,008,192 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2011.11.01 10:07:24 | 000,023,168 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2011.09.16 17:08:07 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2010.02.05 05:16:10 | 000,028,048 | ---- | M] (CSR, plc) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\BthAvrcp.sys -- (BthAvrcp)
DRV - [2009.12.12 01:48:04 | 000,025,984 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\tap0901.sys -- (tap0901)
DRV - [2009.10.08 17:55:33 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2009.06.12 00:00:00 | 000,018,720 | ---- | M] (www.winchiphead.com) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\CH375WDM.SYS -- (CH375)
DRV - [2008.08.26 09:26:12 | 000,018,816 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\pccsmcfd.sys -- (pccsmcfd)
DRV - [2008.03.26 20:53:14 | 000,016,694 | ---- | M] (PalmSource, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\PalmUSBD.sys -- (PalmUSBD)
DRV - [2007.08.28 16:47:36 | 000,146,560 | ---- | M] (AuthenTec, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atswpdrv.sys -- (ATSWPDRV) AuthenTec TruePrint USB Driver (SwipeSensor)
DRV - [2007.06.01 11:29:04 | 000,210,736 | ---- | M] (Silicon Image, Inc) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\Si3531.sys -- (Si3531)
DRV - [2007.05.25 10:41:00 | 000,017,328 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\SiWinAcc.sys -- (SiFilter)
DRV - [2007.05.25 10:40:58 | 000,012,464 | ---- | M] (Silicon Image, Inc.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\SiRemFil.sys -- (SiRemFil)
DRV - [2007.04.30 14:42:14 | 000,081,408 | ---- | M] (Realtek Corporation                                            ) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\Rtlh86.sys -- (RTL8169)
DRV - [2006.11.30 16:18:18 | 000,027,416 | ---- | M] (X10 Wireless Technology, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\x10ufx2.sys -- (XUIF)
DRV - [2006.11.28 16:11:00 | 001,161,888 | ---- | M] (Agere Systems) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2003.04.28 12:27:06 | 000,009,867 | ---- | M] () [Kernel | System | Running] -- C:\Windows\System32\drivers\HOTKEY.sys -- (Hotkey)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.aldi.com/
IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
IE - HKLM\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = hxxp://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.aldi.com/
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,StartPageCache = 1
IE - HKCU\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = hxxp://isearch.avg.com/search?cid={794A4159-BC4E-4BE9-9E55-D0B895085BFA}&mid=6730ee3eed9e47d19d0865097d4811af-70e51a1ac5c3327f76090727b9ebbe18b0d9fd20&lang=de&ds=AVG&pr=fr&d=2011-12-14 11:54:18&v=10.0.0.7&sap=dsp&q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_2_202_235.dll ()
FF - HKLM\Software\MozillaPlugins\@adobe.com/ShockwavePlayer: C:\Windows\system32\Adobe\Director\np32dsw.dll (Adobe Systems, Inc.)
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\11.2.0\\npsitesafety.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@palmsource.com/installer,version=1.0: C:\PROGRA~1\palmOne\PACKAG~1\NPInstal.dll ()
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=1.1.0: C:\Program Files\VideoLAN\VLC\npvlc.dll (the VideoLAN Team)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{A27F3FEF-1113-4cfb-A032-8E12D7D8EE70}: C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Bookmarks Connector\FirefoxExtension\ [2010.05.23 11:50:18 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\11.1.0.12\ [2012.07.09 13:05:56 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.0.1\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2010.05.03 10:15:17 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.0.1\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Thunderbird\Extensions\\{CCB7D94B-CA92-4E3F-B79D-ADE0F07ADC74}: C:\Program Files\Nokia\Nokia Ovi Suite\Connectors\Thunderbird Connector\ThunderbirdExtension\ [2010.05.23 11:50:18 | 000,000,000 | ---D | M]
 
[2010.08.04 08:56:42 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xy\AppData\Roaming\mozilla\Extensions
[2010.08.04 08:56:42 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xy\AppData\Roaming\mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2010.02.24 13:16:11 | 000,000,000 | ---D | M] (No name found) -- C:\Users\xy\AppData\Roaming\mozilla\Firefox\Profiles\bevvnu6b.default\extensions
[2010.02.24 13:16:11 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Users\xy\AppData\Roaming\mozilla\Firefox\Profiles\bevvnu6b.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}
 
O1 HOSTS File: ([2006.09.18 23:41:30 | 000,000,761 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: ::1             localhost
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Programme\AVG Secure Search\11.1.0.12\AVG Secure Search_toolbar.dll ()
O2 - BHO: (EpsonToolBandKicker Class) - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Programme\AVG Secure Search\11.1.0.12\AVG Secure Search_toolbar.dll ()
O3 - HKLM\..\Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKLM\..\Toolbar: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (EPSON Web-To-Page) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe" File not found
O4 - HKLM..\Run: [HotkeyApp] C:\Program Files\Launch Manager\HotkeyApp.exe (Wistron)
O4 - HKLM..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe (Intel Corporation)
O4 - HKLM..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe ()
O4 - HKLM..\Run: [LMgrOSD] C:\Program Files\Launch Manager\OSD.exe (Wistron Corp.)
O4 - HKLM..\Run: [OmniPass] C:\Programme\Softex\OmniPass\scureapp.exe ()
O4 - HKLM..\Run: [RtHDVCpl] C:\Windows\RtHDVCpl.exe (Realtek Semiconductor)
O4 - HKLM..\Run: [SynTPStart] C:\Programme\Synaptics\SynTP\SynTPStart.exe (Synaptics, Inc.)
O4 - HKLM..\Run: [vProt] C:\Program Files\AVG Secure Search\vprot.exe ()
O4 - HKLM..\Run: [Windows Defender] C:\Program Files\Windows Defender\MSASCui.exe (Microsoft Corporation)
O4 - HKCU..\Run: []  File not found
O4 - HKCU..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O4 - HKCU..\RunOnce: [PCSuite.exe] C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe (Nokia)
O4 - HKCU..\RunOnce: [PcSync2.exe] C:\Program Files\Nokia\Nokia PC Suite 7\PcSync2.exe (Nokia)
O4 - Startup: C:\Users\xy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DreamMail.lnk = D:\DreamMail4\DM2005.exe (DreamStudio)
O4 - Startup: C:\Users\xy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_.lnk = C:\Users\xy\AppData\Local\Temp\_uninst_.bat ()
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: LogonHoursAction = 2
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DontDisplayLogonHoursWarnings = 1
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - C:\Programme\Microsoft Office\Office12\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4 File not found
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - hxxp://rover.ebay.com/rover/1/707-37276-17534-25/4 File not found
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office12\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Programme\Microsoft Office\Office12\REFIEBAR.DLL (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - C:\Windows\System32\wpclsp.dll (Microsoft Corporation)
O13 - gopher Prefix: missing
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab (Java Plug-in 1.6.0_30)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{267802FB-6DAB-4FCD-BF5D-09D456D5EFB3}: DhcpNameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{69CB9419-90E9-4758-8364-A033F953AD19}: DhcpNameServer = 134.245.10.7 134.245.1.36
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9898F9AF-E3BB-42A5-B3D5-7C228D05CDB3}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\MSN Messenger\msgrapp.8.1.0178.00.dll (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Programme\MSN Messenger\msgrapp.8.1.0178.00.dll (Microsoft Corporation)
O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Programme\Common Files\AVG Secure Search\ViProtocolInstaller\11.2.0\ViProtocol.dll ()
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL) -  File not found
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL) -  File not found
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O24 - Desktop WallPaper: 
O24 - Desktop BackupWallPaper: 
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2006.09.18 23:43:36 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
 
========== Files - Modified Within 30 Days ==========
 
[2012.07.20 13:45:24 | 000,003,568 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
[2012.07.20 13:45:24 | 000,003,568 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
[2012.07.20 12:18:08 | 000,673,306 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2012.07.20 12:18:08 | 000,632,384 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.07.20 12:18:08 | 000,139,662 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2012.07.20 12:18:08 | 000,115,122 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.07.20 09:45:00 | 000,065,536 | ---- | M] () -- C:\Windows\System32\Ikeext.etl
[2012.07.20 09:44:45 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.07.19 20:20:35 | 000,000,012 | ---- | M] () -- C:\Windows\bthservsdp.dat
[2012.07.17 18:04:00 | 000,000,910 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.17 17:45:54 | 000,000,766 | ---- | M] () -- C:\Users\xy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_.lnk
[2012.07.13 14:23:39 | 000,368,896 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.07.03 13:46:44 | 000,022,344 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
 
========== Files Created - No Company Name ==========
 
[2012.07.17 18:04:00 | 000,000,910 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.17 17:45:54 | 000,000,766 | ---- | C] () -- C:\Users\xy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_.lnk
[2012.02.28 19:43:13 | 000,754,414 | ---- | C] () -- C:\Users\xy\AppData\Local\census.cache
[2012.02.28 19:40:49 | 000,289,455 | ---- | C] () -- C:\Users\xy\AppData\Local\ars.cache
[2012.02.28 03:11:19 | 000,000,036 | ---- | C] () -- C:\Users\xy\AppData\Local\housecall.guid.cache
[2012.01.10 10:18:35 | 000,000,064 | ---- | C] () -- C:\Windows\System32\rp_stats.dat
[2012.01.10 10:18:35 | 000,000,044 | ---- | C] () -- C:\Windows\System32\rp_rules.dat
[2008.04.27 18:38:09 | 000,000,680 | RHS- | C] () -- C:\Users\xy\ntuser.pol
[2008.04.11 10:55:46 | 000,000,000 | ---- | C] () -- C:\Users\xy\AppData\Roaming\Default.PLS
[2008.04.02 18:08:59 | 000,000,305 | ---- | C] () -- C:\ProgramData\addr_file.html
[2008.03.30 20:59:51 | 000,023,580 | ---- | C] () -- C:\Users\xy\AppData\Roaming\UserTile.png
[2008.03.27 14:06:51 | 000,008,192 | ---- | C] () -- C:\Users\xy\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2008.03.26 19:35:15 | 000,000,009 | ---- | C] () -- C:\Users\xy\AppData\Roaming\mdb.bin
[2008.03.24 14:38:05 | 000,000,092 | ---- | C] () -- C:\Users\xy\AppData\Local\fusioncache.dat
 
========== LOP Check ==========
 
[2010.04.02 14:51:28 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\Academic Software Zurich
[2008.06.21 14:00:07 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\Ahnenblatt
[2008.07.06 08:14:31 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\Audacity
[2012.05.10 22:06:19 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\Auslogics
[2011.07.31 16:51:13 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\AVG10
[2008.03.30 17:36:51 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\EPSON
[2012.01.16 09:47:46 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\FileZilla
[2008.03.26 20:53:18 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\HotSync
[2009.08.13 15:04:49 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\Inkscape
[2012.05.22 06:26:55 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\IrfanView
[2009.02.27 22:11:08 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\KompoZer
[2008.03.26 21:03:34 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\Leadertech
[2010.08.04 08:59:19 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\Lexware
[2008.03.26 19:32:58 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\MAGIX
[2012.06.14 11:26:37 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\Nokia
[2010.05.05 13:37:51 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\OpenOffice.org
[2008.10.02 17:10:41 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\Opera
[2010.05.24 11:03:10 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\PC Suite
[2008.03.30 20:59:50 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\PeerNetworking
[2008.03.24 16:41:43 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\Sonavis
[2010.08.04 08:56:41 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\Thunderbird
[2011.01.29 14:35:20 | 000,000,000 | ---D | M] -- C:\Users\xy\AppData\Roaming\Wissensbilanz-Toolbox
[2012.07.19 20:20:40 | 000,032,562 | ---- | M] () -- C:\Windows\Tasks\SCHEDLGU.TXT
 
========== Purity Check ==========
 
 

< End of report >

--- --- ---

Extras.txt
OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 20.07.2012 13:34:00 - Run 1
OTL by OldTimer - Version 3.2.54.0     Folder = C:\Users\gothic\Desktop
Windows Vista Home Premium Edition Service Pack 2 (Version = 6.0.6002) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 0,85 Gb Available Physical Memory | 42,66% Memory free
4,22 Gb Paging File | 2,69 Gb Available in Paging File | 63,81% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 126,37 Gb Total Space | 24,26 Gb Free Space | 19,19% Space Free | Partition Type: NTFS
Drive D: | 22,66 Gb Total Space | 11,86 Gb Free Space | 52,33% Space Free | Partition Type: FAT32
 
Computer Name: xy-PC | User Name: xy| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [Browse with &IrfanView] -- "C:\Program Files\IrfanView\i_view32.exe" "%1 /thumbs" (Irfan Skiljan)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [OneNote.Open] -- C:\PROGRA~1\MICROS~2\Office12\ONENOTE.EXE "%L" (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /separate,/idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /separate,/e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"AntiVirusOverride" = 1
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"VistaSp2" = Reg Error: Unknown registry data type -- File not found
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{06C1D253-3EF6-4779-BCCB-66B59E7696FD}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe | 
"{1B55354C-072E-4129-B1BC-057DDBED8008}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe | 
"{2A08B5B1-E7DE-4319-AD94-C7307F75FD0D}" = lport=5358 | protocol=6 | dir=in | app=system | 
"{36F955B7-DF11-4596-BFF0-4F6E84493700}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe | 
"{39958CF1-67DD-4EFA-BD9A-09F5DB888658}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe | 
"{3A01A458-6EC5-426F-927D-41C8A13FBDF8}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{3D4CB452-819C-48B6-925A-4DE5560C2B2B}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe | 
"{44F64EEE-4FEC-4D08-A367-B4A1F9D17427}" = lport=67 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe | 
"{469849BF-00A7-403C-BABC-A1917A685357}" = rport=2869 | protocol=6 | dir=out | app=system | 
"{4CD5A75E-CB2E-4A56-BD33-BF71C93D103C}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{4FA1B3AC-9D7F-46BD-B295-C58C08D89720}" = lport=53 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe | 
"{52B11A92-1AAD-44B2-9B2D-DBC82AEB7302}" = lport=547 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe | 
"{695C40BC-1516-4325-9989-EEF0FD19FF5E}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\netproj.exe | 
"{7A55BEF3-0B54-4D7D-AD03-2410102A9BC4}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe | 
"{81860A99-9AC5-47D8-823A-67D04612E5EA}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{85E12A24-B9EF-4016-92A4-0A7A607780B0}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{8D22DF9A-B647-4F48-B2E7-6B92BF1800E0}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\p2phost.exe | 
"{90F97117-3E0B-41FE-B92D-9378A0CA7D07}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{9A21F5D4-EC50-405D-A33F-3216DCD71849}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{A7FDDEBE-E70B-4630-9361-6E9E0F0A55FB}" = lport=3702 | protocol=17 | dir=in | app=%systemroot%\system32\p2phost.exe | 
"{A8C55813-A8F3-40F9-A744-6C30142C44B5}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=svchost.exe | 
"{B0D80D6E-9BC2-4FC4-A0CE-5A2545EAD6A2}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{B2BA0DFC-4A60-48E9-9C97-4C228EB0D43B}" = lport=5357 | protocol=6 | dir=in | app=system | 
"{B3B45C19-19FA-46B7-8A98-3223A66B1664}" = rport=3540 | protocol=17 | dir=out | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe | 
"{C5203A86-B60C-426E-9DAD-4CB3988D17F3}" = lport=3540 | protocol=17 | dir=in | svc=pnrpsvc | app=%systemroot%\system32\svchost.exe | 
"{C86DBA18-8B30-439F-A033-163529BEFFB4}" = rport=5358 | protocol=6 | dir=out | app=system | 
"{CE8CBF6E-A63E-4192-87DB-1FAF1C10756D}" = rport=3702 | protocol=17 | dir=out | app=%systemroot%\system32\netproj.exe | 
"{D5D002E2-159C-4ABB-9F27-555710638B46}" = rport=5357 | protocol=6 | dir=out | app=system | 
"{D77D25C0-4663-420F-95F7-114724045711}" = lport=68 | protocol=17 | dir=in | svc=sharedaccess | app=%systemroot%\system32\svchost.exe | 
"{DBA2832E-78CC-4DDE-8E26-16A0EC3AA6A5}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{13D88891-A54D-4854-8426-6093FEC9D3F1}" = protocol=17 | dir=in | app=c:\program files\avg\avg10\avgmfapx.exe | 
"{1FC11A07-9C68-4994-9DAB-C162E3EA2748}" = protocol=6 | dir=in | app=c:\program files\avg\avg10\avgmfapx.exe | 
"{3AEE1BD2-7DCD-4DEE-AEBD-97FE30F151DB}" = dir=in | app=c:\program files\msn messenger\msnmsgr.exe | 
"{407C6294-6D7B-4625-974A-C3343576BCAA}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe | 
"{40B6EBC7-577F-4C84-9479-A5E069A30436}" = dir=in | app=c:\program files\homecinema\powerdirector\pdr.exe | 
"{41CCCB32-897C-4BA9-B5E0-7C5015EE8574}" = protocol=6 | dir=in | app=c:\program files\opera\opera.exe | 
"{4432DD74-81B9-4D8F-B8C3-BBBA47F9843C}" = protocol=58 | dir=in | name=@hnetcfg.dll,-148 | 
"{465B1819-B16D-4A96-8361-9D5FF23F4A83}" = protocol=6 | dir=out | app=%systemroot%\system32\netproj.exe | 
"{54E23448-4F29-4B94-BAA0-CD706BCDE5D6}" = dir=in | app=c:\program files\msn messenger\livecall.exe | 
"{56FFC421-9B1F-4DC1-B65B-6354E7A361D1}" = dir=in | app=c:\program files\homecinema\makedisc\makedisc.exe | 
"{679E6A40-D42E-462A-ACC1-5BA00F8A94FE}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{84CCCF26-4779-4BBC-9EFD-D5438AED5CC4}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{8F687CB7-CB18-45E7-BA41-DB4C0320A67F}" = dir=out | svc=sharedaccess | app=%systemroot%\system32\svchost.exe | 
"{A9246BD6-9212-4502-81B1-C5A38C642C50}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe | 
"{A943F3D4-8566-4F96-816D-473614E7C1F4}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office12\onenote.exe | 
"{A9FF77CC-0542-448F-8FC6-C509361ADED7}" = protocol=17 | dir=in | app=c:\program files\ivt corporation\bluesoleil\bluesoleil.exe | 
"{B8632936-6912-4D35-8668-8F04577B6F83}" = protocol=6 | dir=out | app=%systemroot%\system32\p2phost.exe | 
"{BEA1DF9B-7064-4132-80B8-111CAFA382C6}" = protocol=6 | dir=in | app=%systemroot%\system32\p2phost.exe | 
"{CE3F449E-E5E5-46CC-BE04-D62669007084}" = protocol=6 | dir=in | app=%systemroot%\system32\netproj.exe | 
"{D697DEC6-09BC-4030-A87E-B3CF7A91B9A0}" = protocol=6 | dir=in | app=c:\program files\ivt corporation\bluesoleil\bluesoleil.exe | 
"{F7372172-EC9A-4EF5-8BCF-DF40C4DEA422}" = dir=in | app=c:\program files\homecinema\powerdvd\powerdvd.exe | 
"{FC8DA08F-CDBA-4EF2-A210-527B595F31FC}" = protocol=17 | dir=in | app=c:\program files\opera\opera.exe | 
"TCP Query User{0C3D9DEE-C651-40A5-BF1A-F31EF201BD16}G:\xampp\apache\bin\apache.exe" = protocol=6 | dir=in | app=g:\xampp\apache\bin\apache.exe | 
"TCP Query User{19D50E57-4200-43A7-ACE7-448F0B0AB792}C:\program files\palmone\hotsync.exe" = protocol=6 | dir=in | app=c:\program files\palmone\hotsync.exe | 
"TCP Query User{1B1FE096-5A8F-42C0-872F-1382F0C76EE6}G:\ct\apache\bin\apache.exe" = protocol=6 | dir=in | app=g:\ct\apache\bin\apache.exe | 
"TCP Query User{320E88E0-4F48-4A56-A59F-B4E1B5D965E0}G:\ct\mysql\bin\mysqld-debug.exe" = protocol=6 | dir=in | app=g:\ct\mysql\bin\mysqld-debug.exe | 
"TCP Query User{36AB18FD-269A-4960-AA26-CBA3AF606F0B}C:\windows\explorer.exe" = protocol=6 | dir=in | app=c:\windows\explorer.exe | 
"TCP Query User{43C2304D-AE3E-40B7-88CF-370CD037AC49}G:\xampp\mysql\bin\mysqld.exe" = protocol=6 | dir=in | app=g:\xampp\mysql\bin\mysqld.exe | 
"TCP Query User{447C2E33-C14E-4401-B5BA-C29ED523A523}C:\program files\bioware corp\neverwinter nights\nwmain.exe" = protocol=6 | dir=in | app=c:\program files\bioware corp\neverwinter nights\nwmain.exe | 
"TCP Query User{4E5084E8-88E7-4E73-94D1-7BBE9A1FB9B8}C:\users\gothic\appdata\local\temp\cprogram filesopera\operaupgrader.exe" = protocol=6 | dir=in | app=c:\users\gothic\appdata\local\temp\cprogram filesopera\operaupgrader.exe | 
"TCP Query User{4F66252C-0782-4D2E-9658-CD7D2583732A}C:\windows\system32\taskeng.exe" = protocol=6 | dir=in | app=c:\windows\system32\taskeng.exe | 
"TCP Query User{50613BFD-8711-454D-BC28-41B507E326BE}C:\program files\nokia\nokia software updater\nsu_ui_client.exe" = protocol=6 | dir=in | app=c:\program files\nokia\nokia software updater\nsu_ui_client.exe | 
"TCP Query User{54572251-E498-4C23-8F3F-0B56E01D9EB2}C:\program files\buddyw\buddyw.exe" = protocol=6 | dir=in | app=c:\program files\buddyw\buddyw.exe | 
"TCP Query User{5B805D40-8D00-45A7-8750-0484AA81ED4E}C:\program files\nokia\nokia ovi suite\nokiaovisuite.exe" = protocol=6 | dir=in | app=c:\program files\nokia\nokia ovi suite\nokiaovisuite.exe | 
"TCP Query User{6C24035D-47A7-4EBA-A1E5-0FC03F9B5C65}C:\program files\videolan\vlc\vlc.exe" = protocol=6 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | 
"TCP Query User{A444AE29-94D5-4CEE-B0A4-0E45A002B5BB}C:\program files\common files\nokia\service layer\a\nsl_host_process.exe" = protocol=6 | dir=in | app=c:\program files\common files\nokia\service layer\a\nsl_host_process.exe | 
"TCP Query User{CD081F72-4292-4DA3-B085-2EC46280AE11}C:\wiki\dokuwikistick-2008-05-05\dokuwikistick\mapache.exe" = protocol=6 | dir=in | app=c:\wiki\dokuwikistick-2008-05-05\dokuwikistick\mapache.exe | 
"TCP Query User{D6AE4F66-1D1E-45E3-9C5A-A067FB4BD459}G:\ct\mysql\bin\mysqld.exe" = protocol=6 | dir=in | app=g:\ct\mysql\bin\mysqld.exe | 
"TCP Query User{EAB26422-8587-4C30-8F52-29FDB7261066}C:\program files\namo\webeditor 8\bin\webeditor.exe" = protocol=6 | dir=in | app=c:\program files\namo\webeditor 8\bin\webeditor.exe | 
"UDP Query User{0753C7A5-AB1A-41B2-8417-F8F549DAFB59}C:\program files\palmone\hotsync.exe" = protocol=17 | dir=in | app=c:\program files\palmone\hotsync.exe | 
"UDP Query User{1C63661E-8E3E-4463-B3BD-8132CCCC7589}G:\ct\mysql\bin\mysqld.exe" = protocol=17 | dir=in | app=g:\ct\mysql\bin\mysqld.exe | 
"UDP Query User{21013BFF-A662-4A66-9322-73373A88C27F}C:\program files\nokia\nokia software updater\nsu_ui_client.exe" = protocol=17 | dir=in | app=c:\program files\nokia\nokia software updater\nsu_ui_client.exe | 
"UDP Query User{22E580EA-963A-40FC-A90A-13D707707D98}C:\windows\system32\taskeng.exe" = protocol=17 | dir=in | app=c:\windows\system32\taskeng.exe | 
"UDP Query User{3FC3C1AF-68E5-4278-A3C7-AF5966647F89}C:\users\gothic\appdata\local\temp\cprogram filesopera\operaupgrader.exe" = protocol=17 | dir=in | app=c:\users\gothic\appdata\local\temp\cprogram filesopera\operaupgrader.exe | 
"UDP Query User{456A7A3A-80DE-47F5-84D3-C453A0C7607D}C:\program files\buddyw\buddyw.exe" = protocol=17 | dir=in | app=c:\program files\buddyw\buddyw.exe | 
"UDP Query User{53A5A3BC-94F6-4A56-BB13-659AB433E4A7}G:\ct\apache\bin\apache.exe" = protocol=17 | dir=in | app=g:\ct\apache\bin\apache.exe | 
"UDP Query User{5C8A866F-55DF-4D3F-A343-87B96342327A}C:\program files\nokia\nokia ovi suite\nokiaovisuite.exe" = protocol=17 | dir=in | app=c:\program files\nokia\nokia ovi suite\nokiaovisuite.exe | 
"UDP Query User{624C5681-002C-4823-8D6C-0946E7FBC274}C:\program files\videolan\vlc\vlc.exe" = protocol=17 | dir=in | app=c:\program files\videolan\vlc\vlc.exe | 
"UDP Query User{63F0EEE0-A2C4-4564-85D3-AE84D07122B9}C:\program files\namo\webeditor 8\bin\webeditor.exe" = protocol=17 | dir=in | app=c:\program files\namo\webeditor 8\bin\webeditor.exe | 
"UDP Query User{87F5C39F-A519-4641-80EE-E9C19F018148}C:\program files\bioware corp\neverwinter nights\nwmain.exe" = protocol=17 | dir=in | app=c:\program files\bioware corp\neverwinter nights\nwmain.exe | 
"UDP Query User{9B510CD2-CF4D-46EA-AC5B-0A542F742504}C:\windows\explorer.exe" = protocol=17 | dir=in | app=c:\windows\explorer.exe | 
"UDP Query User{9BDEBBCB-2AAD-4A01-A7E4-B781C1C2940E}G:\xampp\apache\bin\apache.exe" = protocol=17 | dir=in | app=g:\xampp\apache\bin\apache.exe | 
"UDP Query User{B3CAC431-A6EC-4E4A-A55F-097C68B09200}G:\xampp\mysql\bin\mysqld.exe" = protocol=17 | dir=in | app=g:\xampp\mysql\bin\mysqld.exe | 
"UDP Query User{BA983E4A-1DE2-4438-8754-E46CBDEC747B}C:\wiki\dokuwikistick-2008-05-05\dokuwikistick\mapache.exe" = protocol=17 | dir=in | app=c:\wiki\dokuwikistick-2008-05-05\dokuwikistick\mapache.exe | 
"UDP Query User{C095762F-7F51-436C-A92B-1B34089642CD}C:\program files\common files\nokia\service layer\a\nsl_host_process.exe" = protocol=17 | dir=in | app=c:\program files\common files\nokia\service layer\a\nsl_host_process.exe | 
"UDP Query User{FB4CCE4B-025A-4B7F-8FF6-5E530B32972A}G:\ct\mysql\bin\mysqld-debug.exe" = protocol=17 | dir=in | app=g:\ct\mysql\bin\mysqld-debug.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{002D9D5E-29BA-3E6D-9BC4-3D7D6DBC735C}" = Microsoft Visual C++ 2008 ATL Update kb973924 - x86 9.0.30729.4148
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{09C468CA-2940-466A-AAE8-DCC0C6E9323C}" = Nokia Software Updater
"{11AFE21E-B193-430D-B57A-DFF7815BB962}" = Ulead PhotoImpact 12
"{192A107E-C6B9-41B9-BDBF-38E3AA226054}" = OpenOffice.org 3.2
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{20C45B32-5AB6-46A4-94EF-58950CAF05E5}" = EPSON Attach To Email
"{212748BB-0DA5-46DE-82A1-403736DC9F27}" = MSVC80_x86
"{23F2AD64-EAB3-4C01-AECA-33FBA6C7BFCD}" = Neverwinter Nights
"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java(TM) 6 Update 30
"{279DB581-239C-4E13-97F8-0F48E40BE75C}" = Windows Live Messenger
"{2A88F1BF-7041-4E42-84B1-6B4ACB83AC64}" = EPSON Scan Assistant
"{3921A67A-5AB1-4E48-9444-C71814CF3027}" = VCRedistSetup
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3CD4C30E-BD82-4592-B64A-8AD9784ECA9F}" = BMWi-Softwarepaket 10
"{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"{410AB9BC-B057-4D39-9260-660EE1B4BED2}" = Steuer 2009
"{46C045BF-2B3F-4BC4-8E4C-00E0CF8BD9DB}" = Adobe AIR
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4AA68A73-DB9C-439D-9481-981C82BD008B}" = Nokia Connectivity Cable Driver
"{4C73B683-B15D-4B94-AC7A-520B70C4FFE9}" = Sceneo AbsolutTV
"{4E1CD3D5-D4EE-4246-AE24-F0FD5A60390D}" = OviMPlatform
"{525BA381-389C-4975-BDD3-C36DCF66D5BD}" = BMWi Updater
"{53DF73B1-37F5-4B7F-86ED-FA7CC4041031}" = Nero 8 Essentials
"{56C049BE-79E9-4502-BEA7-9754A3E60F9B}" = neroxml
"{588D9F5F-8C62-4421-BAE9-CCAA57D4E4EE}" = TVsweeper 3
"{59624372-3B85-47f4-9B04-4911E551DF1E}" = Lexware Info Service
"{60DED9C2-22BF-47A3-B6C8-6B141BA31DFD}" = Ovi Desktop Sync Engine
"{612C34C7-5E90-47D8-9B5C-0F717DD82726}" = swMSM
"{67EDD823-135A-4D59-87BD-950616D6E857}" = EPSON Copy Utility 3
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{6D3245B1-8DB8-4A23-9CD2-2C90F40ABAF6}" = MSVC80_x86_v2
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{72CBC468-82F9-48F8-B5B0-3300387E41AA}" = Nokia Ovi Suite Software Updater
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{79846AA4-622E-5B48-18B2-02F53F423DFE}" = BMWi-Businessplaner Fuehren
"{7F14F68C-17FA-4F88-B3FD-7F449C1EBF32}" = EPSON Web-To-Page
"{84852EEB-B0DA-4BDA-8F07-9733C2E616AF}" = Wissensbilanz-Toolbox
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{8833FFB6-5B0C-4764-81AA-06DFEED9A476}" = Realtek 8169 PCI, 8168 and 8101E PCIe Ethernet Network Card Driver for Windows Vista
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8FC4F1DD-F7FD-4766-804D-3C8FF1D309AF}" = Ralink Wireless LAN
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_HOMESTUDENTR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_HOMESTUDENTR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_HOMESTUDENTR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_HOMESTUDENTR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_HOMESTUDENTR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_HOMESTUDENTR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{9068B2BE-D93A-4C0A-861C-5E35E2C0E09E}" = Intel(R) Matrix Storage Manager
"{91120000-002F-0000-0000-0000000FF1CE}" = Microsoft Office Home and Student 2007
"{91120000-002F-0000-0000-0000000FF1CE}_HOMESTUDENTR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{A2AA4204-C05A-4013-888A-AD153139297F}" = PC Connectivity Solution
"{A97F28B2-3BA1-49B7-AEF6-CC8956ED8CAA}" = Nokia PC Suite
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Deutsch
"{ACF60000-22B9-4CE9-98D6-2CCF359BAC07}" = ABBYY FineReader 6.0 Sprint
"{AF111648-99A1-453E-81DD-80DBBF6DAD0D}" = MSVC90_x86
"{B145EC69-66F5-11D8-9D75-000129760D75}" = MakeDisc
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy
"{B7A0CE06-068E-11D6-97FD-0050BACBF861}" = PowerProducer
"{B90450DF-E781-46FD-B1F1-0C86DA40E443}" = PIF DESIGNER
"{BC69DDB8-4840-4D9B-BB31-0D4DB2BA1312}" = EPSON Easy Photo Print
"{BD1587F7-B8D0-4111-8F1F-3327628AB02F}" = 3531-W-D
"{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D0846526-66DD-4DC9-A02C-98F9A2806812}" = Launch Manager V1.4.9
"{D36DD326-7280-11D8-97C8-000129760CBE}" = PhotoNow!
"{D5A9B7C0-8751-11D8-9D75-000129760D75}" = MediaShow
"{D8D22773-14BF-4178-A683-3DBA515C2A26}" = WISO Mein Geld 2008 Professional
"{DC24971E-1946-445D-8A82-CE685433FA7D}" = Realtek USB 2.0 Card Reader
"{DEE1E2E5-B553-4F88-9DE7-23CBEA5D739C}" = Nokia Ovi Suite
"{DF6A13C0-77DF-41FE-BD05-6D5201EB0CE7}_is1" = Auslogics Disk Defrag
"{E0091C29-DEE8-4B24-BF65-8C35B5940D77}" = Letstrade
"{E24242E3-A4FF-FC3C-05F2-C83A9C821971}" = BMWi-Businessplaner Gruenden
"{E815FB81-995F-4F33-8E25-F16712123AB7}" = AuthenTec Fingerprint Sensor Minimum Install
"{E86BC406-944E-41F6-ADE6-2C136734C96B}" = EPSON File Manager
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F2D45137-7631-4824-B285-52742329DE4B}" = Documents To Go
"{F4E57F49-84B4-4CF2-B0A1-8CA1752BDF7E}" = OmniPass 5.00.91
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FD6034A3-655C-49F0-B496-D4CBFD74D7A7}" = Palm Desktop by ACCESS
"{FEDE400D-3381-4087-ACCB-689DD8A56123}" = Inst5657
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"504244733D18C8F63FF584AEB290E3904E791693" = Windows-Treiberpaket - Nokia pccsmcfd  (08/22/2008 7.0.0.0)
"72A50F48CC5601190B9C4E74D81161693133E7F7" = Windows-Treiberpaket - Nokia Modem  (02/25/2011 7.01.0.9)
"7-Zip" = 7-Zip 4.65
"Adobe AIR" = Adobe AIR
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.6
"Agere Systems Soft Modem" = Agere Systems HDA Modem
"Ahnenblatt" = Ahnenblatt
"Anti-Twin 2010-05-24 23.23.36" = Anti-Twin (Installation 24.05.2010)
"Audacity 1.3 Beta (Unicode)_is1" = Audacity 1.3.5 (Unicode)
"Avira AntiVir Desktop" = Avira Free Antivirus
"BMWi Updater" = BMWi Updater
"BMWiBusinessplanerFuehren" = BMWi-Businessplaner Fuehren
"BMWiBusinessplanerGruenden" = BMWi-Businessplaner Gruenden
"BMWi-Softwarepaket 10" = BMWi-Softwarepaket 10
"CCleaner" = CCleaner
"Citavi" = Citavi 2.5
"DreamMail 4.6" = DreamMail 4.6
"E0AC723A3DE3A04256288CADBBB011B112AED454" = Windows-Treiberpaket - Nokia Modem  (02/25/2011 4.7)
"EPSON Printer and Utilities" = EPSON-Drucker-Software
"EPSON Scanner" = EPSON Scan
"ESDX6000_CX5900 Benutzerhandb." = ESDX6000_CX5900 Benutzerhandb.
"FileZilla Client" = FileZilla Client 3.5.3
"Firebird SQL Server D" = Firebird SQL Server - MAGIX Edition
"Gothic II" = Gothic II
"Gothic II - Die Nacht des Raben" = Gothic II - Die Nacht des Raben
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"HOMESTUDENTR" = Microsoft Office Home and Student 2007
"Inkscape" = Inkscape 0.46
"InstallShield_{20C45B32-5AB6-46A4-94EF-58950CAF05E5}" = EPSON Attach To Email
"InstallShield_{40BF1E83-20EB-11D8-97C5-0009C5020658}" = CyberLink Power2Go
"InstallShield_{CB099890-1D5F-11D5-9EA9-0050BAE317E1}" = PowerDirector
"IrfanView" = IrfanView (remove only)
"iSMP3Config_1.0" = iSMP3 
"Litlink v3" = Litlink v3
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.62.0.1300
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Thunderbird (3.0.1)" = Mozilla Thunderbird (3.0.1)
"NetObjects Fusion Essentials" = NetObjects Fusion Essentials
"Nokia Ovi Suite" = Nokia Ovi Suite
"Nokia PC Suite" = Nokia PC Suite
"o2DE" = Mobile Connection Manager
"OpenVPN" = OpenVPN 2.1.1
"sv.net" = sv.net
"SWFPlayer_is1" = SWFPlayer 2.6.2.0
"SynTPDeinstKey" = Synaptics Pointing Device Driver
"VLC media player" = VLC media player 1.1.0
"Warenwirtschaft" = BMWi - Warenwirtschaft
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Reader for Palm OS" = Adobe Reader for Palm OS, 3.05
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 17.07.2012 06:14:58 | Computer Name = xy-PC | Source = EventSystem | ID = 4609
Description = 
 
Error - 17.07.2012 06:32:27 | Computer Name = xy-PC | Source = EventSystem | ID = 4609
Description = 
 
Error - 17.07.2012 06:35:52 | Computer Name = xy-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung Explorer.EXE, Version 6.0.6002.18005, Zeitstempel
 0x49e01da5, fehlerhaftes Modul MSVCR80.dll, Version 8.0.50727.6195, Zeitstempel
 0x4dcddbf3, Ausnahmecode 0xc0000005, Fehleroffset 0x0001459b,  Prozess-ID 0x4a4, 
Anwendungsstartzeit 01cd6407704f27ed.
 
Error - 17.07.2012 06:36:03 | Computer Name = xy-PC | Source = EventSystem | ID = 4609
Description = 
 
Error - 17.07.2012 06:36:30 | Computer Name = xy-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung explorer.exe, Version 6.0.6002.18005, Zeitstempel
 0x49e01da5, fehlerhaftes Modul MSVCR80.dll, Version 8.0.50727.6195, Zeitstempel
 0x4dcddbf3, Ausnahmecode 0xc0000005, Fehleroffset 0x0001459b,  Prozess-ID 0x19c, 
Anwendungsstartzeit 01cd6407f3bdb38d.
 
Error - 17.07.2012 06:36:33 | Computer Name = xy-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung explorer.exe, Version 6.0.6002.18005, Zeitstempel
 0x49e01da5, fehlerhaftes Modul ntdll.dll, Version 6.0.6002.18541, Zeitstempel 0x4ec3e3d5,
 Ausnahmecode 0xc015000f, Fehleroffset 0x00075e4b,  Prozess-ID 0x19c, Anwendungsstartzeit
 01cd6407f3bdb38d.
 
Error - 17.07.2012 06:36:45 | Computer Name = xy-PC | Source = EventSystem | ID = 4609
Description = 
 
Error - 17.07.2012 06:39:43 | Computer Name = xy-PC | Source = Application Error | ID = 1000
Description = Fehlerhafte Anwendung explorer.exe, Version 6.0.6002.18005, Zeitstempel
 0x49e01da5, fehlerhaftes Modul MSVCR80.dll, Version 8.0.50727.6195, Zeitstempel
 0x4dcddbf3, Ausnahmecode 0xc0000005, Fehleroffset 0x0001459b,  Prozess-ID 0x490, 
Anwendungsstartzeit 01cd64080c83028d.
 
Error - 17.07.2012 06:39:53 | Computer Name = xy-PC | Source = EventSystem | ID = 4609
Description = 
 
Error - 17.07.2012 06:40:21 | Computer Name = xy-PC | Source = EventSystem | ID = 4609
Description = 
 
[ OSession Events ]
Error - 28.01.2009 01:59:24 | Computer Name = xy-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6331.5000, Microsoft Office Version: 12.0.6215.1000. This session lasted 1562
 seconds with 1500 seconds of active time.  This session ended with a crash.
 
Error - 26.03.2009 15:35:55 | Computer Name = xy-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6331.5000, Microsoft Office Version: 12.0.6215.1000. This session lasted 185
 seconds with 180 seconds of active time.  This session ended with a crash.
 
Error - 21.01.2010 09:15:02 | Computer Name = xy-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6514.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 10927
 seconds with 4020 seconds of active time.  This session ended with a crash.
 
Error - 23.01.2011 11:39:01 | Computer Name = xy-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 0, Application Name: Microsoft Office Word, Application Version:
 12.0.6545.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 4628
 seconds with 4140 seconds of active time.  This session ended with a crash.
 
Error - 08.09.2011 10:26:47 | Computer Name = xy-PC | Source = Microsoft Office 12 Sessions | ID = 7001
Description = ID: 1, Application Name: Microsoft Office Excel, Application Version:
 12.0.6557.5000, Microsoft Office Version: 12.0.6425.1000. This session lasted 6389
 seconds with 3780 seconds of active time.  This session ended with a crash.
 
[ System Events ]
Error - 19.07.2012 06:03:41 | Computer Name = xy-PC | Source = Service Control Manager | ID = 7026
Description = 
 
Error - 20.07.2012 03:45:08 | Computer Name = xy-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 20.07.2012 03:45:09 | Computer Name = xy-PC | Source = Print | ID = 72
Description = Der Drucker Journalnotizdruck konnte nicht initialisiert werden, da
 der Druckprozessor JournalPrint nicht gefunden wurde. Wenden Sie sich an den Treiberhersteller,
 um eine neuere Treiberversion (falls verfügbar) zu erhalten, und installieren Sie
 diesen Treiber, oder wählen Sie einen anderen Treiber aus, der für diesen Drucker
 verwendet werden kann.
 
Error - 20.07.2012 03:45:27 | Computer Name = xy-PC | Source = Service Control Manager | ID = 7026
Description = 
 
Error - 20.07.2012 03:46:23 | Computer Name = xy-PC | Source = DCOM | ID = 10005
Description = 
 
Error - 20.07.2012 03:46:23 | Computer Name = xy-PC | Source = Service Control Manager | ID = 7009
Description = 
 
Error - 20.07.2012 03:46:23 | Computer Name = xy-PC | Source = Service Control Manager | ID = 7000
Description = 
 
Error - 20.07.2012 03:51:58 | Computer Name = xy-PC | Source = ipnathlp | ID = 31004
Description = 0 Bytes Speicher konnten durch den DNS-Proxy-Agenten nicht zugeordnet
 werden. Möglicherweise ist nicht genügend Speicher vorhanden oder ein interner 
Fehler ist im Speicher-Manager aufgetreten.
 
Error - 20.07.2012 03:51:59 | Computer Name = xy-PC | Source = ipnathlp | ID = 31004
Description = 0 Bytes Speicher konnten durch den DNS-Proxy-Agenten nicht zugeordnet
 werden. Möglicherweise ist nicht genügend Speicher vorhanden oder ein interner 
Fehler ist im Speicher-Manager aufgetreten.
 
Error - 20.07.2012 03:52:20 | Computer Name = xy-PC | Source = ipnathlp | ID = 31004
Description = 0 Bytes Speicher konnten durch den DNS-Proxy-Agenten nicht zugeordnet
 werden. Möglicherweise ist nicht genügend Speicher vorhanden oder ein interner 
Fehler ist im Speicher-Manager aufgetreten.
 
 
< End of report >

--- --- ---

habe den PC Namen gegen xy ausgetauscht.

und dies ist das Antivir Protokoll mit den nachgeladenen Viechern vom Do 19.7., von denen einige nicht entfernt wurden.

Zitat:

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Donnerstag, 19. Juli 2012 13:36

Es wird nach 3902230 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira AntiVir Personal - Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista (TM) Home Premium
Windowsversion : (Service Pack 2) [6.0.6002]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : xy- PC

Versionsinformationen:
BUILD.DAT : 12.0.0.1125 41829 Bytes 02.05.2012 16:34:00
AVSCAN.EXE : 12.3.0.15 466896 Bytes 09.05.2012 05:41:59
AVSCAN.DLL : 12.3.0.15 66256 Bytes 09.05.2012 05:41:59
LUKE.DLL : 12.3.0.15 68304 Bytes 09.05.2012 05:42:08
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 09.05.2012 05:30:03
AVREG.DLL : 12.3.0.17 232200 Bytes 11.05.2012 18:54:30
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 10:49:21
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14.12.2010 07:56:15
VBASE002.VDF : 7.11.19.170 14374912 Bytes 20.12.2011 07:56:21
VBASE003.VDF : 7.11.21.238 4472832 Bytes 01.02.2012 18:30:34
VBASE004.VDF : 7.11.26.44 4329472 Bytes 28.03.2012 10:39:56
VBASE005.VDF : 7.11.34.116 4034048 Bytes 29.06.2012 14:25:36
VBASE006.VDF : 7.11.34.117 2048 Bytes 29.06.2012 14:25:36
VBASE007.VDF : 7.11.34.118 2048 Bytes 29.06.2012 14:25:36
VBASE008.VDF : 7.11.34.119 2048 Bytes 29.06.2012 14:25:36
VBASE009.VDF : 7.11.34.120 2048 Bytes 29.06.2012 14:25:36
VBASE010.VDF : 7.11.34.121 2048 Bytes 29.06.2012 14:25:37
VBASE011.VDF : 7.11.34.122 2048 Bytes 29.06.2012 14:25:37
VBASE012.VDF : 7.11.34.123 2048 Bytes 29.06.2012 14:25:37
VBASE013.VDF : 7.11.34.124 2048 Bytes 29.06.2012 14:25:37
VBASE014.VDF : 7.11.34.201 169472 Bytes 02.07.2012 09:37:07
VBASE015.VDF : 7.11.35.19 122368 Bytes 04.07.2012 14:23:17
VBASE016.VDF : 7.11.35.87 146944 Bytes 06.07.2012 08:56:10
VBASE017.VDF : 7.11.35.143 126464 Bytes 09.07.2012 14:23:19
VBASE018.VDF : 7.11.35.235 151552 Bytes 12.07.2012 15:49:23
VBASE019.VDF : 7.11.36.45 118784 Bytes 13.07.2012 15:49:24
VBASE020.VDF : 7.11.36.107 123904 Bytes 16.07.2012 11:33:23
VBASE021.VDF : 7.11.36.147 238592 Bytes 17.07.2012 11:33:23
VBASE022.VDF : 7.11.36.148 2048 Bytes 17.07.2012 11:33:23
VBASE023.VDF : 7.11.36.149 2048 Bytes 17.07.2012 11:33:23
VBASE024.VDF : 7.11.36.150 2048 Bytes 17.07.2012 11:33:23
VBASE025.VDF : 7.11.36.151 2048 Bytes 17.07.2012 11:33:24
VBASE026.VDF : 7.11.36.152 2048 Bytes 17.07.2012 11:33:24
VBASE027.VDF : 7.11.36.153 2048 Bytes 17.07.2012 11:33:24
VBASE028.VDF : 7.11.36.154 2048 Bytes 17.07.2012 11:33:24
VBASE029.VDF : 7.11.36.155 2048 Bytes 17.07.2012 11:33:24
VBASE030.VDF : 7.11.36.156 2048 Bytes 17.07.2012 11:33:24
VBASE031.VDF : 7.11.36.202 116224 Bytes 19.07.2012 11:33:24
Engineversion : 8.2.10.114
AEVDF.DLL : 8.1.2.10 102772 Bytes 11.07.2012 14:23:21
AESCRIPT.DLL : 8.1.4.32 455034 Bytes 06.07.2012 14:23:23
AESCN.DLL : 8.1.8.2 131444 Bytes 06.03.2012 18:30:53
AESBX.DLL : 8.2.5.12 606578 Bytes 15.06.2012 10:56:34
AERDL.DLL : 8.1.9.15 639348 Bytes 31.01.2012 07:55:37
AEPACK.DLL : 8.3.0.14 807287 Bytes 14.07.2012 15:49:42
AEOFFICE.DLL : 8.1.2.40 201082 Bytes 29.06.2012 04:03:46
AEHEUR.DLL : 8.1.4.72 5038455 Bytes 14.07.2012 15:49:41
AEHELP.DLL : 8.1.23.2 258422 Bytes 29.06.2012 04:03:43
AEGEN.DLL : 8.1.5.32 434548 Bytes 06.07.2012 14:23:18
AEEXP.DLL : 8.1.0.62 86389 Bytes 11.07.2012 14:23:21
AEEMU.DLL : 8.1.3.2 393587 Bytes 11.07.2012 14:23:20
AECORE.DLL : 8.1.27.2 201078 Bytes 11.07.2012 14:23:20
AEBB.DLL : 8.1.1.0 53618 Bytes 31.01.2012 07:55:33
AVWINLL.DLL : 12.3.0.15 27344 Bytes 09.05.2012 05:41:55
AVPREF.DLL : 12.3.0.15 51920 Bytes 09.05.2012 05:41:59
AVREP.DLL : 12.3.0.15 179208 Bytes 09.05.2012 05:30:03
AVARKT.DLL : 12.3.0.15 211408 Bytes 09.05.2012 05:41:57
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 09.05.2012 05:41:58
SQLITE3.DLL : 3.7.0.1 398288 Bytes 09.05.2012 05:42:09
AVSMTP.DLL : 12.3.0.15 63440 Bytes 09.05.2012 05:42:00
NETNT.DLL : 12.3.0.15 17104 Bytes 09.05.2012 05:42:08
RCIMAGE.DLL : 12.3.0.15 4447952 Bytes 09.05.2012 05:41:56
RCTEXT.DLL : 12.3.0.15 98512 Bytes 09.05.2012 05:41:56

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: C:\Program Files\Avira\AntiVir Desktop\sysscan.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Laufende Programme erweitert..........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: ein
Optimierter Suchlauf..................: ein
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Beginn des Suchlaufs: Donnerstag, 19. Juli 2012 13:36

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf nach versteckten Objekten wird begonnen.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'SearchFilterHost.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchProtocolHost.exe' - '57' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'vssvc.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '81' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'MpCmdRun.exe' - '29' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehmsas.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'unsecapp.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'ehtray.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'vprot.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '69' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '48' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxpers.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'WisLMSvc.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxsrvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '24' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'OSD.exe' - '31' Modul(e) wurden durchsucht
Durchsuche Prozess 'HotkeyApp.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'LaunchAp.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'scureapp.exe' - '117' Modul(e) wurden durchsucht
Durchsuche Prozess 'opvapp.exe' - '51' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPStart.exe' - '32' Modul(e) wurden durchsucht
Durchsuche Prozess 'IAAnotif.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'MSASCui.exe' - '43' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '177' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskeng.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '34' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '21' Modul(e) wurden durchsucht
Durchsuche Prozess 'avshadow.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '33' Modul(e) wurden durchsucht
Durchsuche Prozess 'SDWinSec.exe' - '47' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '66' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '27' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToolbarUpdater.exe' - '28' Modul(e) wurden durchsucht
Durchsuche Prozess 'ImpWiFiSvc.exe' - '19' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '49' Modul(e) wurden durchsucht
Durchsuche Prozess 'PVRService.exe' - '83' Modul(e) wurden durchsucht
Durchsuche Prozess 'snmp.exe' - '54' Modul(e) wurden durchsucht
Durchsuche Prozess 'RichVideo.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'Iaantmon.exe' - '36' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '44' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '68' Modul(e) wurden durchsucht
Durchsuche Prozess 'agrsmsvc.exe' - '16' Modul(e) wurden durchsucht
Durchsuche Prozess 'armsvc.exe' - '25' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '59' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '52' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '88' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '99' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '82' Modul(e) wurden durchsucht
Durchsuche Prozess 'SLsvc.exe' - '23' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '160' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '118' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '67' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '50' Modul(e) wurden durchsucht
Durchsuche Prozess 'OmniServ.exe' - '55' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '39' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '40' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '30' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '22' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '60' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '37' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '26' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '14' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '2' Modul(e) wurden durchsucht

Untersuchung der Systemdateien wird begonnen:
Signiert -> 'C:\Windows\system32\svchost.exe'
Signiert -> 'C:\Windows\system32\winlogon.exe'
Signiert -> 'C:\Windows\explorer.exe'
Signiert -> 'C:\Windows\system32\smss.exe'
Signiert -> 'C:\Windows\system32\wininet.DLL'
Signiert -> 'C:\Windows\system32\wsock32.DLL'
Signiert -> 'C:\Windows\system32\ws2_32.DLL'
Signiert -> 'C:\Windows\system32\services.exe'
Signiert -> 'C:\Windows\system32\lsass.exe'
Signiert -> 'C:\Windows\system32\csrss.exe'
Signiert -> 'C:\Windows\system32\drivers\kbdclass.sys'
Signiert -> 'C:\Windows\system32\spoolsv.exe'
Signiert -> 'C:\Windows\system32\alg.exe'
Signiert -> 'C:\Windows\system32\wuauclt.exe'
Signiert -> 'C:\Windows\system32\advapi32.DLL'
Signiert -> 'C:\Windows\system32\user32.DLL'
Signiert -> 'C:\Windows\system32\gdi32.DLL'
Signiert -> 'C:\Windows\system32\kernel32.DLL'
Signiert -> 'C:\Windows\system32\ntdll.DLL'
Signiert -> 'C:\Windows\system32\ntoskrnl.exe'
Signiert -> 'C:\Windows\system32\ctfmon.exe'
Die Systemdateien wurden durchsucht ('21' Dateien)

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '4276' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\$Recycle.Bin\S-1-5-21-4027509956-4243891784-3381802490-1007\$R9CJNX8.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Program Files\Nokia\Nokia Ovi Suite\Help\webhelp.jar
[WARNUNG] Einige Dateien dieses Archives sind auf mehrere Teilarchive verteilt (multiple volume)
C:\Program Files\OpenOffice.org 3\Basis\presets\config\standard.sob
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies10.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies100.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies101.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies102.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies103.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies104.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies105.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies106.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies107.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies108.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies109.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies11.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies110.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies111.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies112.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies113.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies114.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies115.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies116.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies117.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies118.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies119.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies12.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies120.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies121.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies122.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies123.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies124.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies125.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies126.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies127.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies128.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies129.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies13.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies130.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies131.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies132.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies133.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies134.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies135.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies136.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies137.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies138.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies139.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies14.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies140.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies141.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies142.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies143.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies144.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies145.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies146.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies147.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies148.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies149.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies15.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies150.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies151.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies152.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies153.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies154.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies155.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies156.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies157.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies158.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies159.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies16.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies160.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies161.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies162.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies163.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies164.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies165.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies166.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies167.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies168.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies169.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies17.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies170.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies171.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies172.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies173.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies174.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies175.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies176.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies177.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies178.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies18.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies19.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies20.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies21.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies22.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies23.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies24.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies25.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies26.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies27.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies28.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies29.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies30.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies31.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies32.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies33.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies34.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies35.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies36.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies37.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies38.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies39.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies4.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies40.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies41.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies42.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies43.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies44.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies45.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies46.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies47.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies48.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies49.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies5.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies50.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies51.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies52.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies53.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies54.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies55.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies56.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies57.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies58.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies59.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies6.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies60.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies61.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies62.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies63.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies64.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies65.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies66.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies67.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies68.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies69.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies7.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies70.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies71.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies72.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies73.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies74.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies75.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies76.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies77.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies78.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies79.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies8.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies80.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies81.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies82.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies83.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies84.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies85.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies86.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies87.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies88.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies89.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies9.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies90.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies91.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies92.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies93.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies94.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies95.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies96.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies97.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies98.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\AdobeFlashPlayerCookies99.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer10.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer11.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer12.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer13.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer14.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer15.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer16.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer17.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer18.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer4.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer5.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer6.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer7.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer8.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\InternetExplorer9.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD10.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD11.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD12.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD13.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD14.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD15.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD4.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD5.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD6.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD7.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD8.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectD9.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectDraw.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectDraw1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectDraw2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectDraw3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectInput.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectInput1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectInput2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectInput3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectInput4.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectInput5.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectInput6.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectInput7.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectInput8.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSDirectInput9.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSManagementConsole.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSManagementConsole1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSManagementConsole2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSMediaPlayer.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSMediaPlayer1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSMediaPlayer2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSMediaPlayer3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSMediaPlayer4.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSMediaPlayer5.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSMediaPlayer6.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOffice1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOfficeExcel.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOfficeExcel1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOfficePowerPoint.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSOfficeWord.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSPaint.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSPaint1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSRegedit.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSWordpad.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\MSWordpad1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\UleadPhotoImpact.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\Windows.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\Windows1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\Windows2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\Windows3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer10.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer11.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer12.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer13.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer14.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer4.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer5.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer6.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer7.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer8.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsExplorer9.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK10.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK11.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK12.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK13.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK14.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK15.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK16.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK17.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK18.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK19.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK20.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK21.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK22.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK23.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK24.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK25.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK26.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK27.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK28.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK29.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK30.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK31.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK32.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK4.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK5.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK6.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK7.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK8.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsMediaSDK9.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsOpenWith.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsOpenWith1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsOpenWith2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsOpenWith3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WindowsOpenWith4.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WinRAR.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WinRAR1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WinRAR2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WinRAR3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\WinRAR4.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\Zip.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\Zip1.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\Zip2.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\Zip3.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\ProgramData\Spybot - Search & Destroy\Recovery\Zip4.zip
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\gothic\AppData\Local\Temp\goempthnhvhggp.exe
[FUND] Ist das Trojanische Pferd TR/Tobfy.A.48
C:\Users\gothic\AppData\Local\Temp\jar_cache3971157560308500473.tmp
[0] Archivtyp: ZIP
--> pv.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Niabil.Gen
C:\Users\gothic\AppData\Local\Temp\kptufvtqtdyevqli.exe
[FUND] Ist das Trojanische Pferd TR/Tobfy.A.48
C:\Users\gothic\AppData\Local\Temp\npkglqqllbg.exe
[FUND] Ist das Trojanische Pferd TR/Tobfy.A.48
C:\Users\gothic\AppData\Local\Temp\V.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.DD
C:\Users\gothic\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\1a97f64c-455a50b9-temp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\gothic\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\1a97f64c-5760f633-temp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\gothic\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\12\1a97f64c-7074454d-temp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\gothic\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\aadee59-41a6dbba-temp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\gothic\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\aadee59-6cb7904d-temp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\gothic\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\9a55aa8-72a76957
[0] Archivtyp: ZIP
--> f_u_a/f_u_d.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/PolarNinnies.I
--> f_u_a/f_u_a.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.CS
--> f_u_a/f_u_c.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Lamar.ED
--> f_u_a/f_u_b.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.DL
C:\Users\gothic\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\1211106b-2424f08a-temp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\gothic\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\43\1211106b-3640c5da-temp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\gothic\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\29751ef7-6748b54b-temp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\gothic\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\55\29751ef7-6d100085-temp
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\gothic\AppData\Roaming\OpenOffice.org\3\user\config\standard.sob
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Users\gothic\Downloads\install_flashplayer11x32_mssd_aih.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\netter\AppData\Roaming\OpenOffice.org\3\user\config\standard.sob
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Users\netter\Documents\Mein Geld\MeinGeld.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\netter\Documents\Mein Geld\Backup\MeinGeld~1.mgz
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\netter\Documents\mobilesoftwareFinst\palm\Plucker-1.1.13.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
C:\Users\Public\Documents\medhist\MArknagel\weggespeichert\müll\stickintenso\MArknagel\Literatur\internetfunde\müll\roentgendiagnose-komplett.zip
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Public\Downloads\install_flashplayer10x32_mssd_aih.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Public\Downloads\install_reader10_de_mssd_aih.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Public\Downloads\Firmenprogis\avira_free_antivirus_de.exe
[WARNUNG] Die Datei ist kennwortgeschützt
C:\Users\Public\Downloads\Firmenprogis\intars61_230_sf.7z
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\Public\Downloads\Firmenprogis\ooo_3.3.0_win_x86_install-wjre_de.exe
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\Public\Downloads\Firmenprogis\Neuer Ordner\intars61_230_sf.7z
[WARNUNG] Die Datei konnte nicht gelesen werden!
C:\Users\Public\Downloads\openoffice\dict-de_DE-OLDSPELL_2010-03-07.oxt
[WARNUNG] Unerwartetes Dateiende erreicht
C:\Users\susi\AppData\Local\Temp\RarSFX0\2977842rar.exe
[WARNUNG] Das gesamte Archiv ist kennwortgeschützt
C:\Users\susi\AppData\Roaming\OpenOffice.org\3\user\config\standard.sob
[WARNUNG] Die komprimierten Daten sind fehlerhaft
C:\Users\susi\Downloads\downloads\rescue.zip
[WARNUNG] Die Version dieses Archives wird nicht unterstützt
Beginne mit der Suche in 'D:\' <RECOVER>
D:\TOOLS\Skype\SkypeSetup.exe
[WARNUNG] Die Version dieses Archives wird nicht unterstützt

Beginne mit der Desinfektion:
C:\Users\gothic\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\40\9a55aa8-72a76957
[FUND] Enthält Erkennungsmuster des Exploits EXP/2008-5353.DL
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5657e528.qua' verschoben!
C:\Users\gothic\AppData\Local\Temp\V.class
[FUND] Enthält Erkennungsmuster des Exploits EXP/2012-0507.DD
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4e96cd5c.qua' verschoben!
C:\Users\gothic\AppData\Local\Temp\npkglqqllbg.exe
[FUND] Ist das Trojanische Pferd TR/Tobfy.A.48
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1cd19076.qua' verschoben!
C:\Users\gothic\AppData\Local\Temp\kptufvtqtdyevqli.exe
[FUND] Ist das Trojanische Pferd TR/Tobfy.A.48
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '7ae9dfb4.qua' verschoben!
C:\Users\gothic\AppData\Local\Temp\jar_cache3971157560308500473.tmp
[FUND] Enthält Erkennungsmuster des Exploits EXP/JAVA.Niabil.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '3f6bf29b.qua' verschoben!
C:\Users\gothic\AppData\Local\Temp\goempthnhvhggp.exe
[FUND] Ist das Trojanische Pferd TR/Tobfy.A.48
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4067c0e8.qua' verschoben!

Ende des Suchlaufs: Donnerstag, 19. Juli 2012 19:28
Benötigte Zeit: 5:04:47 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

58698 Verzeichnisse wurden überprüft
1464892 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
1464883 Dateien ohne Befall
59087 Archive wurden durchsucht
347 Warnungen
6 Hinweise
1144633 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Außerdem muss ich noch nachschieben, dass zu Beginn bei den ersten Scanversuchen im abgesicherten Modus, durch den ich keinen Sperrbildschirm hatte, ein paarmal Probleme mit Überhitzung hatte, so dass der Rechner (schleppi) während des Scans runterfuhr, und als ich mir den Griff um neu zu starten merkte ich wie warm er ist. Daher habe ich viele Pausen gehabt in denen der Rechner aus war und hab jeden scan vom kalten frisch eingeschalteten Recher aus gestartet.
Sobald Kasperskys Virus Removal drüberging und den Ransom-Fund entsorgte war das kein Problem mehr. Protokoll muss ich noch suchen, wo es hingespeichert wurde.
Antivir und Malwarebyte habe ich mehrere Logs, teilweise von abgebrochenen Scans, mal im abgesicherten Modus, mal Normalmodus, teilweise zu Beginn mit nicht ganz aktuekller Datenbank etc. Meist ohne weiteren Fund.
Durch den Wust muss ich erst mal schauen, welche wirklich hilfreich sein können.
an GMER bin ich bisher gescheitert, da ich nicht ganz sicher bin wo wirklich die Haken hinmüssen und wo nicht. Insbesondere der Letzte erwähnte "Show all (sollte abgehackt sein)"
Heißt das jetzt da soll ein Haken hin oder keiner? Steht schließlich in der Rubrik"Entferne rechts den Haken bei:"
in der Seite Für alle Hilfesuchenden

Danke schon mal für die Unterstützung

LG die Plätterin

t'john · 22.07.2012, 20:32

OTLPe weil ich dachte du kannst nicht normal starten

Fixen mit OTL

Lade (falls noch nicht vorhanden) OTL von Oldtimer herunter und speichere es auf Deinem Desktop (nicht woanders hin).

Deaktiviere etwaige Virenscanner wie Avira, Kaspersky etc.
Starte die OTL.exe.
Vista- und Windows 7-User starten mit Rechtsklick auf das Programm-Icon und wählen "Als Administrator ausführen".
Kopiere folgendes Skript in das Textfeld unterhalb von Benuterdefinierte Scans/Fixes:

Code:

ATTFilter

:OTL
PRC - [2012.07.09 13:05:49 | 000,935,008 | ---- | M] () -- C:\Programme\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe 
PRC - [2009.01.26 16:31:10 | 001,153,368 | ---- | M] (Safer Networking Ltd.) -- C:\Programme\Spybot - Search & Destroy\SDWinSec.exe 
PRC - [2007.11.02 13:35:42 | 002,564,096 | ---- | M] () -- C:\Programme\Softex\OmniPass\scureapp.exe 
PRC - [2007.11.02 13:31:24 | 000,069,632 | ---- | M] () -- C:\Programme\Softex\OmniPass\opvapp.exe 
PRC - [2007.09.01 15:03:50 | 000,032,768 | ---- | M] () -- C:\Programme\Launch Manager\LaunchAp.exe 
SRV - File not found [Auto | Running] -- C:\Program Files\Spybot -- (SBSDWSCService) 
SRV - File not found [On_Demand | Stopped] -- C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe -- (AVG Security Toolbar Service) 
SRV - [2012.07.09 13:05:49 | 000,935,008 | ---- | M] () [Auto | Running] -- C:\Programme\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe -- (vToolbarUpdater11.2.0) 
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\VcommMgr.sys -- (VcommMgr) 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\VComm.sys -- (VComm) 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd) 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt) 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys -- (Lavasoft Kernexplorer) 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp) 
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\BTHidMgr.sys -- (BTHidMgr) 
DRV - File not found [Kernel | Boot | Stopped] -- System32\Drivers\vbtenum.sys -- (BTHidEnum) 
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\Drivers\btcusb.sys -- (Btcsrusb) 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\btnetdrv.sys -- (BT) 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\BlueletSCOAudio.sys -- (BlueletSCOAudio) 
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\blueletaudio.sys -- (BlueletAudio) 
DRV - File not found [Kernel | Disabled | Stopped] -- C:\Windows\system32\drivers\blbdrive.sys -- (blbdrive) 
IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} 
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA 
IE - HKLM\..\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}: "URL" = http://us.yhs.search.yahoo.com/avg/search?fr=yhs-avg-chrome&type=yahoo_avg_hs2-tb-web_chrome_us&p={searchTerms} 
IE - HKCU\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64} 
IE - HKCU\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7MEDA 
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={794A4159-BC4E-4BE9-9E55-D0B895085BFA}&mid=6730ee3eed9e47d19d0865097d4811af-70e51a1ac5c3327f76090727b9ebbe18b0d9fd20&lang=de&ds=AVG&pr=fr&d=2011-12-14 11:54:18&v=10.0.0.7&sap=dsp&q={searchTerms} 
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0 
FF - user.js - File not found 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\11.1.0.12\ [2012.07.09 13:05:56 | 000,000,000 | ---D | M] 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - No CLSID value found. 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No CLSID value found. 
O4 - HKLM..\Run: [CtrlVol] "C:\Program Files\Launch Manager\CtrlVol.exe" File not found 
O4 - HKLM..\Run: [LaunchAp] C:\Program Files\Launch Manager\LaunchAp.exe () 
O4 - HKLM..\Run: [OmniPass] C:\Programme\Softex\OmniPass\scureapp.exe () 
O4 - HKLM..\Run: [vProt] C:\Program Files\AVG Secure Search\vprot.exe () 
O4 - HKCU..\Run: [] File not found 
O4 - Startup: C:\Users\xy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_.lnk = C:\Users\xy\AppData\Local\Temp\_uninst_.bat () 
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145 
O9 - Extra Button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 File not found 
O9 - Extra 'Tools' menuitem : eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-37276-17534-25/4 File not found 
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.) 
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL) - File not found 
O32 - HKLM CDRom: AutoRun - 1 

:Files

ipconfig /flushdns /c
:Commands
[purity]
[emptytemp]
[emptyflash]

Schließe alle Programme.
Klicke auf den Fix Button.
Wenn OTL einen Neustart verlangt, bitte zulassen.
Kopiere den Inhalt des Logfiles hier in Code-Tags in Deinen Thread.
Nachträglich kannst Du das Logfile hier einsehen => C:\_OTL\MovedFiles\

Hinweis für Mitleser: Obiges OTL-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Plätterin · 23.07.2012, 11:07

Hallo also wie angegeben durchgeführt im Eingeschränkten befallenen Konto per Als admin ausführen.
secureapp und Launchap habe ich beim aktive Programme stoppen über Taskmanager vor dem Durchlauf gestoppt (da dort auch diverses wie Nero, Media Manager oder diverse updateaufpasser daueraktiv sind)
Muss ich das jetzt evtl nochmal wiederholen?

ergebnislog ist hier: Kontonamen teilw. umbenannt

Zitat:

All processes killed
========== OTL ==========
Process ToolbarUpdater.exe killed successfully!
Process SDWinSec.exe killed successfully!
No active process named scureapp.exe was found!
Process opvapp.exe killed successfully!
No active process named LaunchAp.exe was found!
Service SBSDWSCService stopped successfully!
Service SBSDWSCService deleted successfully!
File C:\Program Files\Spybot not found.
Service AVG Security Toolbar Service stopped successfully!
Service AVG Security Toolbar Service deleted successfully!
File C:\Program Files\AVG\AVG10\Toolbar\ToolbarBroker.exe not found.
Service vToolbarUpdater11.2.0 stopped successfully!
Service vToolbarUpdater11.2.0 deleted successfully!
C:\Programme\Common Files\AVG Secure Search\vToolbarUpdater\11.2.0\ToolbarUpdater.exe moved successfully.
Service VcommMgr stopped successfully!
Service VcommMgr deleted successfully!
File System32\Drivers\VcommMgr.sys not found.
Service VComm stopped successfully!
Service VComm deleted successfully!
File system32\DRIVERS\VComm.sys not found.
Service NwlnkFwd stopped successfully!
Service NwlnkFwd deleted successfully!
File system32\DRIVERS\nwlnkfwd.sys not found.
Service NwlnkFlt stopped successfully!
Service NwlnkFlt deleted successfully!
File system32\DRIVERS\nwlnkflt.sys not found.
Service Lavasoft Kernexplorer stopped successfully!
Service Lavasoft Kernexplorer deleted successfully!
File C:\Program Files\Lavasoft\Ad-Aware\KernExplorer.sys not found.
Service IpInIp stopped successfully!
Service IpInIp deleted successfully!
File system32\DRIVERS\ipinip.sys not found.
Service BTHidMgr stopped successfully!
Service BTHidMgr deleted successfully!
File System32\Drivers\BTHidMgr.sys not found.
Service BTHidEnum stopped successfully!
Service BTHidEnum deleted successfully!
File System32\Drivers\vbtenum.sys not found.
Service Btcsrusb stopped successfully!
Service Btcsrusb deleted successfully!
File System32\Drivers\btcusb.sys not found.
Service BT stopped successfully!
Service BT deleted successfully!
File system32\DRIVERS\btnetdrv.sys not found.
Service BlueletSCOAudio stopped successfully!
Service BlueletSCOAudio deleted successfully!
File system32\DRIVERS\BlueletSCOAudio.sys not found.
Service BlueletAudio stopped successfully!
Service BlueletAudio deleted successfully!
File system32\DRIVERS\blueletaudio.sys not found.
Service blbdrive stopped successfully!
Service blbdrive deleted successfully!
File C:\Windows\system32\drivers\blbdrive.sys not found.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\ not found.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{95B7759C-8C7F-4BF1-B163-73684A933233}\ deleted successfully.
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable|dword:0 /E : value set successfully!
File HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\11.1.0.12\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{A057A204-BACC-4D26-9990-79A187E2698E} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A057A204-BACC-4D26-9990-79A187E2698E}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{CCC7A320-B3CA-4199-B1A6-9F516DD69829} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\CtrlVol deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\LaunchAp deleted successfully.
C:\Programme\Launch Manager\LaunchAp.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\OmniPass deleted successfully.
C:\Programme\Softex\OmniPass\scureapp.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\vProt deleted successfully.
C:\Programme\AVG Secure Search\vprot.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\ deleted successfully.
File move failed. C:\Users\xy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_uninst_.lnk scheduled to be moved on reboot.
File C:\Users\xy\AppData\Local\Temp\_uninst_.bat not found.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0B65DCC9-1740-43dc-B19C-4F309FB6A6CA}\ not found.
Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
C:\Windows\Downloaded Program Files\erma.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_Dlls:C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\\AutoRun|DWORD:1 /E : value set successfully!
========== FILES ==========
< ipconfig /flushdns /c >
Windows-IP-Konfiguration
Der DNS-Aufl”sungscache wurde geleert.
C:\Users\gothic\Desktop\cmd.bat deleted successfully.
C:\Users\gothic\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 18209475 bytes
->Flash cache emptied: 56502 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Gast
->Temp folder emptied: 132263 bytes
->Temporary Internet Files folder emptied: 1180523 bytes

User: gothic
->Temp folder emptied: 5646345 bytes
->Temporary Internet Files folder emptied: 389027053 bytes
->Java cache emptied: 2767882 bytes
->FireFox cache emptied: 55981559 bytes
->Google Chrome cache emptied: 267428615 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 4555 bytes

User: (umbenannter eingeschränkter User, der mit ganz viel ForschungsGB)
->Temp folder emptied: 31210097 bytes
->Temporary Internet Files folder emptied: 3129180 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 106114490 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 5331 bytes

User: Public

User: surfer (eingeschränkter eigentlich überflüssiger User mit aufgeräumtem desktop, nur ein Tag genutzt durch Bekannte )
->Temp folder emptied: 217872 bytes
->Temporary Internet Files folder emptied: 18907516 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 4341202 bytes
->Flash cache emptied: 56502 bytes

User: Realname (umbenanntes Adminkonto)
->Temp folder emptied: 456017928 bytes
->Temporary Internet Files folder emptied: 4118598 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 7255624 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 57140 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 345071859 bytes
RecycleBin emptied: 2636849769 bytes

Total Files Cleaned = 4.152,00 mb

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 0 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Gast

User: gothic
->Flash cache emptied: 0 bytes

User: umbenanntes Forschungskonto
->Flash cache emptied: 0 bytes

User: Public

User: surfer
->Flash cache emptied: 0 bytes

User: Realname/Admin
->Flash cache emptied: 0 bytes

Total Flash Files Cleaned = 0,00 mb

OTL by OldTimer - Version 3.2.54.0 log created on 07232012_113719

Liebe Grüße

t'john · 23.07.2012, 17:49

Sehr gut!

Wie laeuft der Rechner?

1. Schritt

Bitte einen Vollscan mit Malwarebytes Anti-Malware machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss!

Malwarebytes Anti-Malware
- Anwendbar auf Windows 2000, XP, Vista und 7.
- Installiere das Programm in den vorgegebenen Pfad.
- Aktiviere "Komplett Scan durchführen" => Scan.
- Wähle alle verfügbaren Laufwerke (ausser CD/DVD) aus und starte den Scan.
- Funde bitte löschen lassen oder in Quarantäne.
- Wenn der Scan beendet ist, klicke auf "Zeige Resultate".

danach:

2. Schritt

Downloade Dir bitte AdwCleaner auf deinen Desktop.

Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Search.
Nach Ende des Suchlaufs öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[R1].txt.

Plätterin · 23.07.2012, 18:34

Rechner läuft wie gewohnt, nicht berauschend aber er lebt. scrollen im Browser war etwas ungewohnt hakelig, aber ich hatte auch ziemlich viel schon auf oder gerade noch am aufmachen (2 x Emailprogramme zum gucken, dazu MalwareAB schon startklar zum aktualisieren, aber erst wollte ich deinen Link noch nach adwcleaner verfolgen und auf dem Stick ein ganz ähnlich lautendes anschauen ob es das wohl ist...)
Also bei vielen Fenstern ist er wie gewohnt überfordert ;-)

adwcleaner ist runtergeladen, Malwarebyte aktualisiert, kann sich jetzt nur noch um Stunden handeln, bis die Logs fertig sind. Win defender wollte noch ein update und ich guck noch schnell die Post durch ;-)
Wie evtl schon erwähnt, die Kiste ist ziemlich voll...
Bis hoffentlich bald

t'john · 23.07.2012, 22:28

OK, aber bitte den Rechner nch nicht zu sehr benutzen.
Er ist noch nicht SAFE

Plätterin · 24.07.2012, 05:22

Nee keine Panik ich hatte nur ein bisschen Stau, ein bisschen mailgucken ob was wichtiges gekommen ist wird schon nicht groß schaden, hat es bisher jedenfalls auch nicht merklich,wenn ich alle 2 Tage mal reinschaute.

Jetzt über Nacht sind die beiden Programme durchgelaufen. Ist das normal, dass der adwcleaner in kaum einer Minute durch ist? Obwohl er was findet. Malware war ohne Fund.

Hier sind jedenfalls die Logs
Malware Antibyte

Zitat:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Datenbank Version: v2012.07.23.10

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
susi :: SUSIS-PC [Administrator]

23.07.2012 19:27:39
mbam-log-2012-07-23 (19-27-39).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM | P2P
Deaktivierte Suchlaufeinstellungen:
Durchsuchte Objekte: 660864
Laufzeit: 6 Stunde(n), 29 Minute(n), 50 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

Adwcleaner

Zitat:

# AdwCleaner v1.703 - Logfile created 07/24/2012 at 03:24:47
# Updated 20/07/2012 by Xplode
# Operating system : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# User : susi - SUSIS-PC
# Running from : C:\Users\gothic\Desktop\adwcleaner.exe
# Option [Search]

***** [Services] *****

***** [Files / Folders] *****

Folder Found : C:\Users\gothic\AppData\Local\AVG Secure Search
Folder Found : C:\ProgramData\AVG Secure Search
Folder Found : C:\Program Files\AVG Secure Search
Folder Found : C:\Program Files\Common Files\AVG Secure Search

***** [Registry] *****

Key Found : HKCU\Software\AVG Secure Search
Key Found : HKLM\SOFTWARE\AVG Secure Search
Key Found : HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE
Key Found : HKLM\SOFTWARE\Classes\AppID\ViProtocol.DLL
Key Found : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI
Key Found : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI.1
Key Found : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj
Key Found : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj.1
Key Found : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\viprotocol
Key Found : HKLM\SOFTWARE\Classes\S
Key Found : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi
Key Found : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi.1
Key Found : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE
Key Found : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE.1
Key Found : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
Key Found : HKLM\SOFTWARE\Software
Key Found : HKLM\SOFTWARE\Wise Solutions
Value Found : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [Avg@toolbar]

***** [Registre - GUID] *****

Key Found : HKLM\SOFTWARE\Classes\AppID\{1FDFF5A2-7BB1-48E1-8081-7236812B12B2}
Key Found : HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{B658800C-F66E-4EF3-AB85-6C0C227862A9}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{F25AF245-4A81-40DC-92F9-E9021F207706}
Key Found : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Key Found : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Key Found : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Key Found : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Key Found : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Key Found : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{74FB6AFD-DD77-4CEB-83BD-AB2B63E63C93}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Key Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F25AF245-4A81-40DC-92F9-E9021F207706}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C6FDD0C3-266A-4DC3-B459-28C697C44CDC}
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F25AF245-4A81-40DC-92F9-E9021F207706}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Value Found : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{95B7759C-8C7F-4BF1-B163-73684A933233}]

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v [Unable to get version]

Profile name : default
File : C:\Users\susi\AppData\Roaming\Mozilla\Firefox\Profiles\bevvnu6b.default\prefs.js

[OK] File is clean.

Profile name : default
File : C:\Users\netter\AppData\Roaming\Mozilla\Firefox\Profiles\6hmudcce.default\prefs.js

[OK] File is clean.

Profile name : default
File : C:\Users\gothic\AppData\Roaming\Mozilla\Firefox\Profiles\x8mdzp2k.default\prefs.js

Found : user_pref("avg.install.installDirPath", "C:\\ProgramData\\AVG Secure Search\\11.1.0.12");
Found : user_pref("keyword.URL", "hxxp://isearch.avg.com/search?cid=%7B1ebbac1a-88a9-49cd-9c63-c844fffb80a7%[...]

-\\ Opera v12.0.1467.0

File : C:\Users\susi\AppData\Roaming\Opera\Opera\operaprefs.ini

Found : application/vnd.palm.psi=6,,C:\PROGRA~1\palmOne\PACKAG~1\NPInstal.dll,PalmSource Package Installer,p[...]

File : C:\Users\netter\AppData\Roaming\Opera\Opera\operaprefs.ini

Found : application/vnd.palm.psi=6,,C:\PROGRA~1\palmOne\PACKAG~1\NPInstal.dll,PalmSource Package Installer,p[...]

File : C:\Users\gothic\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

File : C:\Users\surfer\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R1].txt - [5339 octets] - [24/07/2012 03:24:47]

########## EOF - \AdwCleaner[R1].txt - [5467 octets] ##########

So und jetzt erst mal wachwerden und

Willst du auch einen?
Schönen Gruß
die Plätterin

t'john · 25.07.2012, 01:00

Sehr gut!

Zitat:

Willst du auch einen?

wat sonst

Schließe alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Delete.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

danach:

Malware-Scan mit Emsisoft Anti-Malware

Lade die Gratisversion von => Emsisoft Anti-Malware herunter und installiere das Programm.
Lade über Jetzt Updaten die aktuellen Signaturen herunter.
Wähle den Freeware-Modus aus.

Wähle Detail Scan und starte über den Button Scan die Überprüfung des Computers.
Am Ende des Scans nichts loeschen lassen!. Mit Klick auf Bericht speichern das Logfile auf dem Desktop speichern und hier in den Thread posten.

Anleitung: http://www.trojaner-board.de/103809-...i-malware.html

Plätterin · 25.07.2012, 15:05

Ihhh
Ensisoft hat noch einen gefunden (neben etwas Kleinkram)
"gamethief.win32.magania!E2" und das in einer Datei, die ich aktiv seit gut 2 Jahren nichtmehr angefasst habe, höchstens vor ca 6 Monaten mal umsortiert (und vermutlich Kopien, die aus denselben Dateienstrukturen nur aus einer anderen Speicherphase kamen entsorgt.).
Ich spele aber gar keine Onlinegames!

Die Dateien ist von nem Stick, der allerdings auch mehrfach durch Faulheit auf dem Rechner vorhanden war (Sprich wozu nur neues vom Stick herussuchen und wegsortieren, wenn man auch einfach den ganzen rüber ziehen kann. Waren wichtige Arbeitsdateien von meinem Forschungsprojekt an der Uni drauf, die ich geschätzte 30 mal gesichert habe auf diversen Medien ext. FP, Unirechner lokal, Unirechner im Netzwerk, mein Schleppi, 2 weitere größere Sticks, CDs.
Openoffice in Portable Apps ist dann immer wieder mitgespeichert worden, aber größtenteils inzwischen ca. 5 x gelöscht, weil so völlig unnötig für den stationären Rechner.

Der Stick steckte so ziemlich überall mal...
Pfui bäh

Log folgt, sobald er durch ist.
LG die Plätterin

Anbei die Logs, der dringlichkeit wegen erst Ensi

Zitat:

Emsisoft Anti-Malware - Version 6.6
Letztes Update: 25.07.2012 09:53:07

Scan Einstellungen:

Scan Methode: Detail Scan
Objekte: Rootkits, Speicher, Traces, C:\, D:\
Archiv Scan: An
ADS Scan: An

Scan Beginn: 25.07.2012 09:53:40

Value: hkey_classes_root\clsid\{0c69356e-1275-4df8-9a67-6c0a6caafac8}\inprocserver32 --> threadingmodel gefunden: Trace.Registry.advanced computer monitor!E1
Value: hkey_local_machine\software\classes\clsid\{2e675021-9b3b-49ca-a8d5-d1829f999808}\inprocserver32 --> threadingmodel gefunden: Trace.Registry.advanced computer monitor!E1
Value: hkey_classes_root\clsid\{bbda50f9-4374-4697-b004-943d3cda4a6a}\inprocserver32 --> threadingmodel gefunden: Trace.Registry.advanced computer monitor!E1
Value: hkey_local_machine\software\classes\clsid\{0c69356e-1275-4df8-9a67-6c0a6caafac8}\inprocserver32 --> threadingmodel gefunden: Trace.Registry.advanced computer monitor!E1
Value: hkey_classes_root\clsid\{2e675021-9b3b-49ca-a8d5-d1829f999808}\inprocserver32 --> threadingmodel gefunden: Trace.Registry.advanced computer monitor!E1
Value: hkey_local_machine\software\classes\clsid\{bbda50f9-4374-4697-b004-943d3cda4a6a}\inprocserver32 --> threadingmodel gefunden: Trace.Registry.advanced computer monitor!E1
C:\Users\Public\Documents\medhist\MNneu\nichtMN\oo\PortableApps\NVUPortable\App\nvu\xpcshell.exe gefunden: Trojan-GameThief.Win32.Magania!E2

Gescannt 899836
Gefunden 7

Scan Ende: 25.07.2012 15:51:35
Scan Zeit: 5:57:55

und hier der gefixte adw

Zitat:

# AdwCleaner v1.703 - Logfile created 07/25/2012 at 09:36:50
# Updated 20/07/2012 by Xplode
# Operating system : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# User : Realname- xy-PC
# Running from : C:\Users\gothic\Desktop\adwcleaner.exe
# Option [Delete]

***** [Services] *****

***** [Files / Folders] *****

Folder Deleted : C:\Users\gothic\AppData\Local\AVG Secure Search
Folder Deleted : C:\ProgramData\AVG Secure Search
Folder Deleted : C:\Program Files\AVG Secure Search
Folder Deleted : C:\Program Files\Common Files\AVG Secure Search

***** [Registry] *****

Key Deleted : HKCU\Software\AVG Secure Search
Key Deleted : HKLM\SOFTWARE\AVG Secure Search
Key Deleted : HKLM\SOFTWARE\Classes\AppID\ScriptHelper.EXE
Key Deleted : HKLM\SOFTWARE\Classes\AppID\ViProtocol.DLL
Key Deleted : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI
Key Deleted : HKLM\SOFTWARE\Classes\AVG Secure Search.BrowserWndAPI.1
Key Deleted : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj
Key Deleted : HKLM\SOFTWARE\Classes\AVG Secure Search.PugiObj.1
Key Deleted : HKLM\SOFTWARE\Classes\PROTOCOLS\Handler\viprotocol
Key Deleted : HKLM\SOFTWARE\Classes\S
Key Deleted : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi
Key Deleted : HKLM\SOFTWARE\Classes\ScriptHelper.ScriptHelperApi.1
Key Deleted : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE
Key Deleted : HKLM\SOFTWARE\Classes\ViProtocol.ViProtocolOLE.1
Key Deleted : HKLM\SOFTWARE\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin
Key Deleted : HKLM\SOFTWARE\Software
Key Deleted : HKLM\SOFTWARE\Wise Solutions
Value Deleted : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [Avg@toolbar]

***** [Registre - GUID] *****

Key Deleted : HKLM\SOFTWARE\Classes\AppID\{1FDFF5A2-7BB1-48E1-8081-7236812B12B2}
Key Deleted : HKLM\SOFTWARE\Classes\AppID\{BB711CB0-C70B-482E-9852-EC05EBD71DBB}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{B658800C-F66E-4EF3-AB85-6C0C227862A9}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{CC5AD34C-6F10-4CB3-B74A-C2DD4D5060A3}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{F25AF245-4A81-40DC-92F9-E9021F207706}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{6E4C89CF-3061-4EE4-B22A-B7A8AAEA5CB3}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{74FB6AFD-DD77-4CEB-83BD-AB2B63E63C93}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{C2AC8A0E-E48E-484B-A71C-C7A937FAAB94}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F25AF245-4A81-40DC-92F9-E9021F207706}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{C6FDD0C3-266A-4DC3-B459-28C697C44CDC}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{F25AF245-4A81-40DC-92F9-E9021F207706}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{95B7759C-8C7F-4BF1-B163-73684A933233}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95B7759C-8C7F-4BF1-B163-73684A933233}
Value Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{95B7759C-8C7F-4BF1-B163-73684A933233}]

***** [Internet Browsers] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Registry is clean.

-\\ Mozilla Firefox v [Unable to get version]

Profile name : default
File : C:\Users\realname\AppData\Roaming\Mozilla\Firefox\Profiles\bevvnu6b.default\prefs.js

[OK] File is clean.

Profile name : default
File : C:\Users\Forschungsbenutzer\AppData\Roaming\Mozilla\Firefox\Profiles\6hmudcce.default\prefs.js

[OK] File is clean.

Profile name : default
File : C:\Users\gothic(befallener)\AppData\Roaming\Mozilla\Firefox\Profiles\x8mdzp2k.default\prefs.js

C:\Users\gothic\AppData\Roaming\Mozilla\Firefox\Profiles\x8mdzp2k.default\user.js ... Deleted !

Deleted : user_pref("avg.install.installDirPath", "C:\\ProgramData\\AVG Secure Search\\11.1.0.12");
Deleted : user_pref("keyword.URL", "hxxp://isearch.avg.com/search?cid=%7B1ebbac1a-88a9-49cd-9c63-c844fffb80a7%[...]

-\\ Opera v12.0.1467.0

File : C:\Users\realname\AppData\Roaming\Opera\Opera\operaprefs.ini

Deleted : application/vnd.palm.psi=6,,C:\PROGRA~1\palmOne\PACKAG~1\NPInstal.dll,PalmSource Package Installer,p[...]

File : C:\Users\forschung\AppData\Roaming\Opera\Opera\operaprefs.ini

Deleted : application/vnd.palm.psi=6,,C:\PROGRA~1\palmOne\PACKAG~1\NPInstal.dll,PalmSource Package Installer,p[...]

File : C:\Users\gothic\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

File : C:\Users\surfer\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] File is clean.

*************************

AdwCleaner[R3].txt - [5586 octets] - [25/07/2012 09:36:12]
AdwCleaner[S1].txt - [5598 octets] - [25/07/2012 09:36:50]
AdwCleaner[R1].txt - [5466 octets] - [24/07/2012 03:24:47]
AdwCleaner[R2].txt - [5526 octets] - [24/07/2012 03:28:19]

########## EOF - \AdwCleaner[S1].txt - [5846 octets] ##########

die xpcshell.exe habe ich mal herausgesucht, die hat ein letztes Änderungsdatum von 2005, sprich älter als der ganze PC, eben so alt wie der Stick auf dem die Portable Apps genutzt wurden, bevor der Stick zum Datentransporteur wurde.
Oder kann das Vieh jetzt trotzdem erst neu eingeschleust sein, denn beim googlen danach bekomme ich neben japanischen Seiten auch die von Virustotal.com, so wie die https://www.virustotal.com/file/d0d914a72e7cf1e29ce43b1c2afb4bf96d8727cad134a9e3ff73d0f2c8b12faa/analysis/

Ich bin mir nicht sicher, heißt die ensisoft GameThief...=Tr/Crypt.Xpack.Gen in Antivir (das war ja der Ausgang von diesmaligen Schlamassel)
Die hintere Endung ist jeweils anders, aber nur so grob zum verstehen (und Panik vertreiben)

LG

t'john · 25.07.2012, 16:04

Sehr gut!

Lasse die Funde loeschen, dann:

Deinstalliere:
Emsisoft Anti-Malware

ESET Online Scanner

Vorbereitung

Schließe evtl. vorhandene externe Festplatten und/oder sonstigen Wechselmedien (z. B. evtl. vorhandene USB-Sticks) an den Rechner an.
Bitte während des Online-Scans Anti-Virus-Programm und Firewall deaktivieren.
Vista/Win7-User: Bitte den Browser unbedingt als Administrator starten.

Los geht's

Lade und starte Eset Smartinstaller
Haken setzen bei YES, I accept the Terms of Use.
Klick auf Start.
Haken setzen bei Remove found threads und Scan archives.
Klick auf Start.
Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Finish drücken.
Browser schließen.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (manchmal auch C:\Programme\Eset\log.txt) suchen und mit Deinem Editor öffnen.
Logfile hier posten.
Deinstallation: Systemsteuerung => Software => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Plätterin · 25.07.2012, 16:21

[QUOTE=t'john;873553]Sehr gut!

Na du bist ja mal optimistisch...

ich schieb grad a bissel Panik dass ich das Ding schon Jahre mit mir mitschlepp...

Autsch

Bin dann mal wieder am Patienten

t'john · 25.07.2012, 16:37

Solange du es nicht gestartet hast, ist es harmlos

Plätterin · 25.07.2012, 19:23

Neee ich bin doch nicht blöd, ich hab nur geguckt ob am ende des Pfades immer noch dasselbe Datum wie beim obersten Ordner angezeigt wird als letztes Mal angefasst.

....Bissel andern Kram erledigt....
So ich bin wieder dran, hab die Technik nach Haus geschleppt, da da die betroffenen USB Sticks sind (die wo ich irgendwann mal Portable Apps drauf hatte)
Hab jetzt 3 von 4 Sticks und 1 exFP dran (der letzte Stick muss dann halt irgendwann anders mal dran glauben, mehr passt nicht) und sitze wie die Dekotomate im Kabelsalat (beide Rechner und nur 1 Internetkabel)

Das Ensi ist deinstalliert, nun war alles startklar für den Eset Onlinescanner, aber der will nicht....

HILFE

Habe Terms abgenickt und dann beim nächsten Bildschirm auf Start geklickt.
Dort heißt es jetzt:
Can not get Update. Is Proxy Configured?
darunter ist dann der Part der schon vorm Start-Klick da war Installation consists of three steps 1Component Download 2 Component Registration 3 Start (das ist dann vermutlich das 2. Start)
Unten ist noch die Möglichkeit Manuell einen Proxi zu definieren.
Ich kenne aber keinen...

Und ja... auch wenn ich grad wieder vom Linux schreibe. ich war mit dem Patienten online ohne antivir, ohne defender und ohne Wndows Firewall.
Und nein auch wenn er jetzte Updaten will, ich habe noch keinen Haken bei Remove oder scan machen können, war noch nicht im angebot.

aber so wollte ich dann doch nicht ausharren.
Bis hoffentlich bald.

23.07.2012, 22:28	#8
t'john /// Helfer-Team	BKA und seine Kavallerie OK, aber bitte den Rechner nch nicht zu sehr benutzen. Er ist noch nicht SAFE __________________ Mfg, t'john Das TB unterstützen

25.07.2012, 16:37	#14
t'john /// Helfer-Team	BKA und seine Kavallerie Solange du es nicht gestartet hast, ist es harmlos __________________ Mfg, t'john Das TB unterstützen

BKA und seine Kavallerie

Plagegeister aller Art und deren Bekämpfung: BKA und seine Kavallerie