Hallo,
wenn ich meinen Rechner in einem bestimmten Profil starte, dann öffnet sich nach wenigen Sekunden automatisch der IE und will (vermutlich) den BKA Bildschirm anzeigen. Es geht auf jeden Fall nix mehr. Wenn ich im Admin Profil starte, dann scheint soweit alles zu gehen. Problem sind extrem komplizierte Installationen und wichtige Konfigs im eigentlichen Profil, also muß ich das Problem irgendwie lösen.
Anbei das Log vom Malwarebytes.

Ich lasse grad noch ESET drüber laufen und hier erkennt er den Win32/Weelsof.B Trojaner
Was kann ich noch tun?
Vielen Dank schon mal

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass Du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld

Zitat:

Problem sind extrem komplizierte Installationen und wichtige Konfigs im eigentlichen Profil, also muß ich das Problem irgendwie lösen.

Erkläre mir in der Zwischenzeit bitte, was du damit meinst.

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting (posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread (möglichst in Code-Tags). Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg. Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.


Dann fangen wir mal an ...

Kontrollscan mit OTL

• Starte bitte OTL.exe
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Hallo und vielen herzlichen Dank für die gute Aufnahme hier. Echt toll.
Im besagten Profil ist eine sehr komplizierte DATEV Installation vorhanden. Das hat mich viel Zeit und Nerven gekostet stabil zum Laufen zu bekommen.

Bevor ich die scans starte: Es ist ein trendmicro Officescan Virenscanner installiert. Soll ich den vorher deaktivieren?

Ja, den Scanner bitte während des OTL Scans deaktivieren.

Handelt es sich um einen gewerblich genutzten Rechner?

Dann beachte bitte dies:

Zitat:

Grundsätzlich bereinigen wir keine gewerblich genutzen Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.

Bevor es weiter geht benötige ich hier also eine Antwort.

Der Rechner wird ausschließlich von mir als kleiner Einzelunternehmer in Nebentätigkeit genutzt

In Ordnung

Zitat:

Lesestoff:
Hinweise: Gewerblich genutzte Rechner

• Die Hilfe, die wir hier anbieten, erfolgt für den User auf eigene Gefahr. Auch wenn wir uns nach bestem Wissen bemühen, so besteht doch das Risiko, dass der Computer im Laufe der Bereinigung evtl. nicht mehr startbar sein könnte oder es zu Datenverlust kommen kann. Für eine Sicherung der vorhandenen Arbeits- und ggf. Kundendaten hat der User selbst zu sorgen. Eine Haftung ist durch die Nutzungsvereinbarung auf jeden Fall ausgeschlossen. Darauf wurde hiermit hingewiesen.
• Weiterhin wird hiermit darauf hingewiesen, dass in den zu postenden Logfiles eventuell Kundendaten mit anfallen könnten, beispielsweise dann, wenn infizierte Dokumente nach Kundennamen benannt wurden. Trojaner-Board wird die Logfiles im Nachhinein nicht abändern oder den Thread löschen.
• Die Bereinigung erfolgt für kleine Unternehmen kostenfrei. Du hast allerdings die Möglichkeit uns mit einer Spende zu unterstützen.

Schritt 1:
Customscan mit OTL

Falls noch nicht vorhanden, lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Starte bitte die OTL.exe.
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
%windir%\installer\*. /5
%localappdata%\*. /5
%allusersprofile%\*.*
%allusersprofile%\*.exe /s
CREATERESTOREPOINT
         

• Schliesse bitte nun alle Programme. (Wichtig)
• Klicke nun bitte auf den Quick Scan Button.
• Kopiere nun den Inhalt aus OTL.txt und Extra.txt hier in Deinen Thread

Schritt 2:
Rootkitscan mit GMER

Bitte

• alle anderen Scanner gegen Viren, Spyware, usw. deaktivieren,
• keine bestehende Verbindung zu einem Netzwerk/Internet (WLAN nicht vergessen),
• nichts am Rechner arbeiten,
• nach jedem Scan der Rechner neu gestarten.

Gmer scannen lassen

• Lade Dir Gmer von dieser Seite herunter
  (auf den Button Download EXE drücken) und das Programm auf dem Desktop speichern.
• Alle anderen Programme sollen geschlossen sein.
• Starte gmer.exe (Programm hat einen willkürlichen Programm-Namen).
  Vista und Win7 User mit Rechtsklick und als Administrator starten.
• Sollte sich ein Fenster mit folgender Warnung öffnen:

  WARNING !!!
  GMER has found system modification, which might have been caused by ROOTKIT activity.
  Do you want to fully scan your system ?

  Unbedingt auf "No" klicken.
• Entferne rechts den Haken bei:

  • IAT/EAT
  • Alle Festplatten ausser die Systemplatte (normalerweise ist nur C:\ angehackt)
  • Show all (sollte abgehackt sein)

• Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Hallo, hab alles nach Anleitung ausgeführt und anbei sind die Logs. Vielen vielen Dank

Es fehlt die Extras.txt (s.o.) und bitte in CODE-Tags posten. Anhängen erschwert mir die Auswertung. Kurze Nachfrage: Deine DATEV Installation benutzt einen Dongle-Schutz?

Hast du weitere Logfiles von Malwarebytes? Diese bitte auch posten. ESET-Log bitte auch.

Hier noch die Extras.txt
Es ist kein Dongle dran

OTL EXTRAS Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL Extras logfile created on: 04.10.2012 08:22:51 - Run 1
OTL by OldTimer - Version 3.2.70.1     Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,06 Gb Available Physical Memory | 53,34% Memory free
3,84 Gb Paging File | 3,11 Gb Available in Paging File | 80,94% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 53,74 Gb Free Space | 72,11% Space Free | Partition Type: NTFS
 
Computer Name: PERSONAL-103 | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Unable to open value key
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Unable to open value key
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"UpdatesDisableNotify" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
"DisableMonitoring" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AuthorizedApplications]
"Enabled" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\GloballyOpenPorts\List]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\RemoteAdminSettings]
"RemoteAddresses" = 172.17.8.31,
"Enabled" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services\FileAndPrint]
"RemoteAddresses" = 172.17.8.31,
"Enabled" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Services\RemoteDesktop]
"RemoteAddresses" = 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]
"DoNotAllowExceptions" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\AuthorizedApplications]
"Enabled" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\AuthorizedApplications\List]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile\GloballyOpenPorts\List]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"17899:TCP" = 17899:TCP:*:Enabled:Trend Micro OfficeScan Listener
"1947:TCP" = 1947:TCP:*:Enabled:HASP SRM 
"1947:UDP" = 1947:UDP:*:Enabled:HASP SRM 
"45622:TCP" = 45622:TCP:*:Enabled:Trend Micro OfficeScan Listener
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"45622:TCP" = 45622:TCP:*:Enabled:Trend Micro OfficeScan Listener
 
========== Authorized Applications List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\DATEV\PROGRAMM\Install\ExecDll\ExecDllExe.exe" = C:\DATEV\PROGRAMM\Install\ExecDll\ExecDllExe.exe:*:Enabled:ExecDllExe.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Install\Uninstal.exe" = C:\DATEV\PROGRAMM\Install\Uninstal.exe:*:Enabled:Uninstal.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Sws\LimaServer.exe" = C:\DATEV\PROGRAMM\SWS\LimaServer.exe:*:Enabled:LimaServer.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Sws\LimaService.exe" = C:\DATEV\PROGRAMM\SWS\LimaService.exe:*:Enabled:LimaService.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Sws\LimaAdmin.exe" = C:\DATEV\PROGRAMM\SWS\LimaAdmin.exe:*:Enabled:LimaAdmin.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Sws\LimaPing.exe" = C:\DATEV\PROGRAMM\SWS\LimaPing.exe:*:Enabled:LimaPing.exe -- ()
"C:\DATEV\PROGRAMM\Sws\StartCIOProfile.exe" = C:\DATEV\PROGRAMM\SWS\StartCIOProfile.exe:*:Enabled:StartCIOProfile.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Sws\MasterSWM_Viewer.exe" = C:\DATEV\PROGRAMM\SWS\MasterSWM_Viewer.exe:*:Enabled:MasterSWM_Viewer.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Sws\LimaLicFile.exe" = C:\DATEV\PROGRAMM\SWS\LimaLicFile.exe:*:Enabled:LimaLicFile.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\B0000195\ADDMAN\DATEVAddMan.exe" = C:\DATEV\PROGRAMM\B0000195\ADDMAN\DATEVAddMan.exe:*:Enabled:DATEVAddMan.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe" = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe:*:Enabled:DcManag.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe" = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe:*:Enabled:DfueMan.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\DFUEISDN\SecClt\SecClt.exe" = C:\DATEV\PROGRAMM\DFUEISDN\SecClt\SecClt.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:SecClt.exe
"C:\DATEV\PROGRAMM\DFUEISDN\SSLClt\SSLClt.exe" = C:\DATEV\PROGRAMM\DFUEISDN\SSLClt\SSLClt.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:SSLClt.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\DFUEWS\MNTBNA\mntbna.exe" = C:\DATEV\PROGRAMM\DFUEWS\MNTBNA\mntbna.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:mntbna.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe" = C:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe:*:Enabled:ccsrv2.exe -- ()
"C:\DATEV\PROGRAMM\RZKOMM\callauferst.exe" = C:\DATEV\PROGRAMM\RZKOMM\callauferst.exe:*:Enabled:callauferst.exe
"C:\DATEV\PROGRAMM\RZKOMM\DfueSammlerDienst.exe" = C:\DATEV\PROGRAMM\RZKOMM\DfueSammlerDienst.exe:*:Enabled:DfueSammlerDienst.exe -- ()
"C:\DATEV\PROGRAMM\RZKOMM\funktest.exe" = C:\DATEV\PROGRAMM\RZKOMM\funktest.exe:*:Enabled:funktest.exe
"C:\DATEV\PROGRAMM\RZKOMM\funkt_fv.exe" = C:\DATEV\PROGRAMM\RZKOMM\funkt_fv.exe:*:Enabled:funkt_fv.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\RZKOMM\empftest.exe" = C:\DATEV\PROGRAMM\RZKOMM\empftest.exe:*:Enabled:empftest.exe
"C:\DATEV\PROGRAMM\Numzus\NumZus.exe" = C:\DATEV\PROGRAMM\NUMZUS\NumZus.exe:*:Enabled:NumZus.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\StartCIO.exe" = C:\DATEV\PROGRAMM\SWS\StartCIO.exe:*:Enabled:StartCIO.exe -- ()
"C:\DATEV\PROGRAMM\SWS\TestTCP.exe" = C:\DATEV\PROGRAMM\SWS\TestTCP.exe:*:Enabled:TestTCP.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\LimaStatus.exe" = C:\DATEV\PROGRAMM\SWS\LimaStatus.exe:*:Enabled:LimaStatus.exe -- ()
"C:\DATEV\PROGRAMM\B0000398\SiPaHost.exe" = C:\DATEV\PROGRAMM\B0000398\SiPaHost.exe:*:Enabled:SiPaHost.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\B0000391\Datev.Security.Dokumentenschutz.exe" = C:\DATEV\PROGRAMM\B0000391\Datev.Security.Dokumentenschutz.exe:*:Enabled:Datev.Security.Dokumentenschutz.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Mandant\Mandant.exe" = C:\DATEV\PROGRAMM\MANDANT\Mandant.exe:*:Enabled:Mandant.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\K0005000\Arbeitsplatz.exe" = C:\DATEV\PROGRAMM\K0005000\Arbeitsplatz.exe:*:Enabled:Arbeitsplatz.exe -- (DATEV eG)
"C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE" = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook -- (Microsoft Corporation)
"C:\WINDOWS\system32\bfcrx.exe" = C:\WINDOWS\system32\bfcrx.exe:*:Enabled:baramundi Remote Executor -- (baramundi software AG)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\DATEV\PROGRAMM\Install\ExecDll\ExecDllExe.exe" = C:\DATEV\PROGRAMM\Install\ExecDll\ExecDllExe.exe:*:Enabled:ExecDllExe.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Install\Uninstal.exe" = C:\DATEV\PROGRAMM\Install\Uninstal.exe:*:Enabled:Uninstal.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Sws\LimaServer.exe" = C:\DATEV\PROGRAMM\SWS\LimaServer.exe:*:Enabled:LimaServer.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Sws\LimaService.exe" = C:\DATEV\PROGRAMM\SWS\LimaService.exe:*:Enabled:LimaService.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Sws\LimaAdmin.exe" = C:\DATEV\PROGRAMM\SWS\LimaAdmin.exe:*:Enabled:LimaAdmin.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Sws\LimaPing.exe" = C:\DATEV\PROGRAMM\SWS\LimaPing.exe:*:Enabled:LimaPing.exe -- ()
"C:\DATEV\PROGRAMM\Sws\StartCIOProfile.exe" = C:\DATEV\PROGRAMM\SWS\StartCIOProfile.exe:*:Enabled:StartCIOProfile.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Sws\MasterSWM_Viewer.exe" = C:\DATEV\PROGRAMM\SWS\MasterSWM_Viewer.exe:*:Enabled:MasterSWM_Viewer.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Sws\LimaLicFile.exe" = C:\DATEV\PROGRAMM\SWS\LimaLicFile.exe:*:Enabled:LimaLicFile.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\B0000195\ADDMAN\DATEVAddMan.exe" = C:\DATEV\PROGRAMM\B0000195\ADDMAN\DATEVAddMan.exe:*:Enabled:DATEVAddMan.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe" = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe:*:Enabled:DcManag.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe" = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe:*:Enabled:DfueMan.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\DFUEISDN\SecClt\SecClt.exe" = C:\DATEV\PROGRAMM\DFUEISDN\SecClt\SecClt.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:SecClt.exe
"C:\DATEV\PROGRAMM\DFUEISDN\SSLClt\SSLClt.exe" = C:\DATEV\PROGRAMM\DFUEISDN\SSLClt\SSLClt.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:SSLClt.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\DFUEWS\MNTBNA\mntbna.exe" = C:\DATEV\PROGRAMM\DFUEWS\MNTBNA\mntbna.exe:10.0.0.0/255.0.0.0,172.16.0.0/255.240.0.0,192.168.0.0/255.255.0.0:Enabled:mntbna.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe" = C:\DATEV\PROGRAMM\RZKOMM\ccsrv2.exe:*:Enabled:ccsrv2.exe -- ()
"C:\DATEV\PROGRAMM\RZKOMM\callauferst.exe" = C:\DATEV\PROGRAMM\RZKOMM\callauferst.exe:*:Enabled:callauferst.exe
"C:\DATEV\PROGRAMM\RZKOMM\DfueSammlerDienst.exe" = C:\DATEV\PROGRAMM\RZKOMM\DfueSammlerDienst.exe:*:Enabled:DfueSammlerDienst.exe -- ()
"C:\DATEV\PROGRAMM\RZKOMM\funktest.exe" = C:\DATEV\PROGRAMM\RZKOMM\funktest.exe:*:Enabled:funktest.exe
"C:\DATEV\PROGRAMM\RZKOMM\funkt_fv.exe" = C:\DATEV\PROGRAMM\RZKOMM\funkt_fv.exe:*:Enabled:funkt_fv.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\RZKOMM\empftest.exe" = C:\DATEV\PROGRAMM\RZKOMM\empftest.exe:*:Enabled:empftest.exe
"C:\DATEV\PROGRAMM\Numzus\NumZus.exe" = C:\DATEV\PROGRAMM\NUMZUS\NumZus.exe:*:Enabled:NumZus.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\StartCIO.exe" = C:\DATEV\PROGRAMM\SWS\StartCIO.exe:*:Enabled:StartCIO.exe -- ()
"C:\DATEV\PROGRAMM\SWS\TestTCP.exe" = C:\DATEV\PROGRAMM\SWS\TestTCP.exe:*:Enabled:TestTCP.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\SWS\LimaStatus.exe" = C:\DATEV\PROGRAMM\SWS\LimaStatus.exe:*:Enabled:LimaStatus.exe -- ()
"C:\DATEV\PROGRAMM\B0000398\SiPaHost.exe" = C:\DATEV\PROGRAMM\B0000398\SiPaHost.exe:*:Enabled:SipaHost.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\B0000391\Datev.Security.Dokumentenschutz.exe" = C:\DATEV\PROGRAMM\B0000391\Datev.Security.Dokumentenschutz.exe:*:Enabled:Datev.Security.Dokumentenschutz.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\Mandant\Mandant.exe" = C:\DATEV\PROGRAMM\MANDANT\Mandant.exe:*:Enabled:Mandant.exe -- (DATEV eG)
"C:\DATEV\PROGRAMM\K0005000\Arbeitsplatz.exe" = C:\DATEV\PROGRAMM\K0005000\Arbeitsplatz.exe:*:Enabled:Arbeitsplatz.exe -- (DATEV eG)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{196467F1-C11F-4F76-858B-5812ADC83B94}" = MSXML 4.0 SP3 Parser
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{23170F69-40C1-2701-0465-000001000000}" = 7-Zip 4.65
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29
"{31D72A9B-F7A1-4FE9-A9BC-45D2BE2610D4}" = SQLXML4
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{44D66AD9-AE19-4AFD-BE7E-A1B44C856697}" = MSXML4.0 redistributable
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{5FCFEBE0-EBDA-42A5-BC6E-67B94A47D6F0}" = kobdfu x64x86 driver installation
"{66F28964-CE41-459A-A4FF-A6BBD1374282}" = Wisdom-soft ScreenHunter 5.0 Free
"{6DA99C69-0799-467E-9496-F37E1E452A4A}" = SCR3xxx Smart Card Reader
"{735DEB9C-61BD-4D31-994B-92395BBB4E45}" = Microsoft XML Parser
"{76EA55BD-535F-4AB4-AD80-A8CA331F4E6F}" = Windows Messenger 5.1
"{7F26BC94-9AAA-4FD2-A38A-F13B3ECA3426}" = Crystal Reports Runtime XI
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{86CE85E6-DBAC-3FFD-B977-E4B79F83C909}" = Microsoft Visual C++ 2008 Redistributable - KB2467174 - x86 9.0.30729.5570
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8E770F99-CF23-4BF9-BF4E-E3A2924FEB27}" = Microsoft redistributable runtime DLLs VS2005 SP1(x86)
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-0020-0407-0000-0000000FF1CE}" = Compatibility Pack für 2007 Office System
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{909B62B0-8ACA-4061-A83B-09CAEF609619}" = MSXML 6.0 Parser
"{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007
"{91490409-6000-11D3-8CFE-0150048383C9}" = Microsoft Office 2003 Primary Interop Assemblies
"{95120000-00AF-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint Viewer 2007 (German)
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.1 - Deutsch
"{ACCA20B0-C4D1-4BF5-BF21-0A0EB5EF9730}" = REALTEK GbE & FE Ethernet PCI NIC Driver
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C5CBEBFF-3DB4-4271-A706-757BBE3BD5AE}" = KOBIL CCID driver x64x86
"{C911A0C2-2236-3164-AA47-F2566C01AE5E}" = Microsoft .NET Framework 4 Extended DEU Language Pack
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{DE7A5DDF-47B3-42FF-A082-E158DEA37392}" = EMET
"{E78BFA60-5393-4C38-82AB-E8019E464EB4}" = Microsoft .NET Framework 1.1 German Language Pack
"{E7A679C2-2A9C-4008-9CF9-178A6C13D923}" = Dialogseminar online V.3.02
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F132AF7F-7BCA-4EDE-8A7C-958108FE7DBC}" = Realtek High Definition Audio Driver
"{F46E21DF-5BE1-48E2-8390-5EEA8B25E36A}" = Microsoft SQL Server Native Client
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{F8AEA743-A9CB-453C-9B3C-53D7F1D0CC22}" = B1315AppGuid
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"DATEVB00000482.0" = DATEV Installation V.2.91
"ESET Online Scanner" = ESET Online Scanner v3
"Google Chrome" = Google Chrome
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"ie8" = Windows Internet Explorer 8
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.65.0.1400
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft .NET Framework 4 Extended DEU Language Pack" = Microsoft .NET Framework 4 Extended DEU Language Pack
"OfficeScanNT" = Trend Micro OfficeScan Client
"PROHYBRIDR" = 2007 Microsoft Office system
"WHFC" = Uninstall WHFC
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"Wisdom-soft Toolbar" = Wisdom-soft Toolbar
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"YTdetect" = Yahoo! Detect
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 02.10.2012 03:49:52 | Computer Name = PERSONAL-103 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 
Error - 02.10.2012 03:49:53 | Computer Name = PERSONAL-103 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 02.10.2012 05:51:03 | Computer Name = PERSONAL-103 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 02.10.2012 05:51:03 | Computer Name = PERSONAL-103 | Source = crypt32 | ID = 131083
Description = Die Extrahierung der Drittanbieterstammlisten aus der automatischen
 Aktualisierungs-CAB-Datei bei <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootstl.cab>
 ist fehlgeschlagen mit dem Fehler: Ein erforderliches Zertifikat befindet sich 
nicht im Gültigkeitszeitraum gemessen an der aktuellen Systemzeit oder dem Zeitstempel
 in der signierten Datei.  .
 
Error - 02.10.2012 05:51:18 | Computer Name = PERSONAL-103 | Source = crypt32 | ID = 131080
Description = Der automatische Aktualisierungsabruf der Drittanbieterstammlisten-Sequenznummer
 von <hxxp://www.download.windowsupdate.com/msdownload/update/v3/static/trustedr/en/authrootseq.txt>
 ist fehlgeschlagen mit dem Fehler: Dieser Vorgang wurde wegen Zeitüberschreitung
 zurückgegeben.  .
 

< End of report >
         

--- --- ---

Gut

Ich brauche noch eine Information von dir und wir entfernen jetzt schon einen Teil.

Schritt 1:
Scan bei Virustotal

Kennst du diese Datei? Wenn nicht, dann lasse sie bitte scannen.

Bitte lasse die folgenden Dateien aus der Code-Box bei Virustotal überprüfen.

• Klicke auf Choose File
• Kopiere nun folgendes nacheinander in die Suchleiste.
  
  Code: Alles auswählenAufklappen

  ATTFilter

  C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\pinfect.zip
           

• und klicke auf Öffnen.
• Klicke auf Scan it!.

Warte bitte bis die Datei vollständig hochgeladen wurde. Solltest Du folgende die Meldung "File already submitted" bekommen klicke auf Reanalyse.
Warte bis unter Current status: Finished steht.

Kopiere den Link aus deiner Adresszeile und poste ihn hier.

Schritt 2:

Deinstallation von Programmen

• Windows XP: Start > Systemsteuerung > Software > [Programmname] > Deinstallieren
• ggf. Neustart zulassen

Die folgende Software ist definitiv schädlich oder potenziell gefährlich. Deinstalliere daher bitte:

• Yahoo! Detect

Die folgenden Programme gelten als "unerwünscht" und werden meist ohne dein Wissen mitinstalliert, entferne daher bitte:

• Ask Toolbar
• Google Toolbar for Internet Explorer
• Wisdom-soft Toolbar

Schritt 3:
AdwCleaner: Werbeprogramme suchen und löschen

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 4:
Kontrollscan mit OTL

• Starte bitte OTL.exe
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Hallo, benötigst Du noch weiterhin Hilfe ?

Sollte ich innerhalb der nächsten 24 Stunden keine Antwort von dir erhalten, werde ich dein Thema aus meinen Abos nehmen und bekomme dadurch keine Nachricht über neue Antworten.

Das Verschwinden der Symptome bedeutet nicht, dass dein System schon sauber ist

Hallo,
danke für die Schilderungen.
Hier die nächsten Infos:
Schritt 1:
Ich kenne die Datei nicht und hier ist das Ergebnis vom Scan:
https://www.virustotal.com/file/ab28f4824ca9e107deeb236b7494728a2838b2b0e70079acbe10a178a34af91b/analysis/1349425086/

Schritt 2:
Is jetzt alles weg

Schritt 3:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.003 - Datei am 10/05/2012 um 09:54:41 erstellt
# Aktualisiert am 23/09/2012 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Administrator - PERSONAL-103
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0NMVUVGR\adwcleaner2.002[1].exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
Ordner Gelöscht : C:\Dokumente und Einstellungen\eifino\Anwendungsdaten\pdfforge

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Schlüssel Gelöscht : HKLM\Software\Description
Schlüssel Gelöscht : HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Wert Gelöscht : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

Wiederhergestellt : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Wiederhergestellt : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

*************************

AdwCleaner[S1].txt - [1700 octets] - [05/10/2012 09:54:41]

########## EOF - C:\AdwCleaner[S1].txt - [1760 octets] ##########
         

Schritt 4:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 05.10.2012 11:01:50 - Run 3
OTL by OldTimer - Version 3.2.70.1     Folder = C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,24 Gb Available Physical Memory | 62,09% Memory free
3,84 Gb Paging File | 3,23 Gb Available in Paging File | 84,09% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 53,60 Gb Free Space | 71,93% Space Free | Partition Type: NTFS
 
Computer Name: PERSONAL-103 | User Name: Administrator | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.10.02 12:48:56 | 000,600,064 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\OTL.exe
PRC - [2012.05.09 14:25:58 | 000,152,152 | ---- | M] (Microsoft Corporation) -- C:\Programme\EMET\EMET_notifier.exe
PRC - [2012.03.29 10:33:14 | 000,458,904 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\OfficeScan Client\CNTAoSMgr.exe
PRC - [2012.01.27 13:42:18 | 000,010,848 | ---- | M] (DATEV eG) -- C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe
PRC - [2011.12.09 03:20:00 | 000,079,872 | ---- | M] (DATEV eG) -- C:\DATEV\PROGRAMM\B0001442\PSNTServ.exe
PRC - [2011.12.07 16:07:50 | 001,113,984 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\OfficeScan Client\PccNTMon.exe
PRC - [2011.12.05 12:02:24 | 001,832,152 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe
PRC - [2011.12.05 11:55:50 | 001,905,024 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe
PRC - [2011.11.04 09:51:48 | 000,176,128 | ---- | M] (DATEV eG) -- C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe
PRC - [2011.11.04 09:51:20 | 000,356,412 | ---- | M] (DATEV eG) -- C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe
PRC - [2011.11.04 02:00:00 | 001,245,184 | ---- | M] (DATEV eG) -- C:\DATEV\SYSTEM\ccsrv3.exe
PRC - [2011.07.25 02:49:00 | 000,269,920 | ---- | M] (DATEV eG) -- C:\DATEV\PROGRAMM\Install\DvInesASDMon.Exe
PRC - [2011.07.25 02:49:00 | 000,172,640 | ---- | M] (DATEV eG) -- C:\DATEV\PROGRAMM\Install\DvInesASDSvc.Exe
PRC - [2011.06.28 09:22:08 | 000,549,472 | ---- | M] (DATEV eG) -- C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe
PRC - [2011.06.28 09:18:54 | 002,409,056 | ---- | M] (DATEV eG) -- C:\DATEV\PROGRAMM\B0000150\ScServer\DVckService.exe
PRC - [2011.06.16 16:46:22 | 000,345,616 | ---- | M] (Trend Micro Inc.) -- C:\Programme\Trend Micro\BM\TMBMSRV.exe
PRC - [2011.06.09 14:06:06 | 000,254,696 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2011.05.09 14:52:04 | 000,271,456 | ---- | M] (Datev eG) -- C:\DATEV\PROGRAMM\B0000398\SiPaHostService.exe
PRC - [2011.05.09 14:52:02 | 000,595,552 | ---- | M] (DATEV eG) -- C:\DATEV\PROGRAMM\B0000398\SiPaHost.exe
PRC - [2011.03.16 16:00:08 | 000,386,656 | ---- | M] (DATEVeG) -- C:\DATEV\PROGRAMM\B0000299\AS\as.exe
PRC - [2011.03.16 14:22:42 | 000,345,696 | ---- | M] (DATEV eG) -- C:\DATEV\PROGRAMM\DFUEISDN\SSLClt\sslclt.exe
PRC - [2010.09.22 16:47:40 | 000,368,736 | ---- | M] (DATEV eG) -- C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardManager.exe
PRC - [2010.09.22 16:47:22 | 000,292,960 | ---- | M] (DATEV eG) -- C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardService.exe
PRC - [2009.01.28 10:52:46 | 002,790,400 | ---- | M] (Aladdin Knowledge Systems Ltd.) -- C:\WINDOWS\system32\hasplms.exe
PRC - [2008.06.18 08:13:20 | 000,036,448 | ---- | M] (DATEV eG) -- C:\DATEV\SYSTEM\RzpjWtch.exe
PRC - [2008.04.14 07:52:46 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.06.20 14:38:21 | 000,221,696 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.ServiceProce#\5552b27237c3dbe4f21a10e97adf2edc\System.ServiceProcess.ni.dll
MOD - [2012.06.20 13:46:32 | 002,413,568 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.Framework.Int#\3a11aa3856f203fc91bb8ccd76c8868f\Datev.Framework.Interface.ni.dll
MOD - [2012.06.20 13:45:46 | 000,664,064 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.ConfigDB\4beaf4b4d66ac27c73ba827915da3ce5\Datev.ConfigDB.ni.dll
MOD - [2012.06.15 12:38:14 | 012,433,920 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\01abbadafaf265d9f4ac9bbb247acb98\System.Windows.Forms.ni.dll
MOD - [2012.06.15 12:37:48 | 001,592,320 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\d86f2038209a4cf0d0f5b30f6375c9b2\System.Drawing.ni.dll
MOD - [2012.05.21 10:04:40 | 001,072,640 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.IdentityModel\bd28f26b18b8ffeee1a0fbaa98f5810e\System.IdentityModel.ni.dll
MOD - [2012.05.21 10:04:37 | 018,058,752 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.ServiceModel\cfece6f67593b4d8bb58d23b7fdcc470\System.ServiceModel.ni.dll
MOD - [2012.05.21 10:01:12 | 000,649,728 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Transactions\67a386434938003bceb0752e979dabb3\System.Transactions.ni.dll
MOD - [2012.05.21 10:01:10 | 001,021,952 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Runtime.Dura#\79ac99fe5274fb82ffcff2c15f71854c\System.Runtime.DurableInstancing.ni.dll
MOD - [2012.05.21 10:01:08 | 000,143,360 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\SMDiagnostics\bb97517e4ca64e02282fca24612ce8ad\SMDiagnostics.ni.dll
MOD - [2012.05.21 10:01:06 | 002,647,040 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Runtime.Seri#\8a9fac9cb825b5d2db0bdb867fff940e\System.Runtime.Serialization.ni.dll
MOD - [2012.05.21 08:53:43 | 002,470,400 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.Framework.Mic#\1474c88993d19d7dbf90b4f6741b9ce3\Datev.Framework.MicroKernel.ni.dll
MOD - [2012.05.21 08:51:46 | 000,647,168 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.Framework.Dia#\f2684949f82c5b9bd79082d63e84b352\Datev.Framework.Diagnostics.RealTimeTracing.ni.dll
MOD - [2012.05.21 08:51:11 | 000,114,176 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.ConfigDB.Stor#\fdc1f39da15bbf602484c35d65176bd3\Datev.ConfigDB.StorageProvider.ni.dll
MOD - [2012.05.21 08:51:09 | 000,018,944 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.ConfigDB.Plug#\d43837854fb10e60b3d7d5bc53245977\Datev.ConfigDB.PlugIn.ni.dll
MOD - [2012.05.21 08:51:07 | 000,065,024 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\Datev.ConfigDB.Inte#\30a9f94196e66e1b613fcdff74ae327d\Datev.ConfigDB.Interfaces.ni.dll
MOD - [2012.05.11 12:40:13 | 007,953,408 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\e4b5afc4da43b1c576f9322f9f2e1bfe\System.ni.dll
MOD - [2012.05.11 12:39:54 | 011,492,352 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\e337c89bc9f81b69d7237aa70e935900\mscorlib.ni.dll
MOD - [2012.05.11 12:17:02 | 005,617,664 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Xml\d1f299160424bad90fe9f658661389e2\System.Xml.ni.dll
MOD - [2012.05.11 12:16:57 | 000,982,528 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Configuration\623d2a0f11dd82bb9bc13d1cb981b239\System.Configuration.ni.dll
MOD - [2012.05.11 12:16:25 | 007,069,184 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System.Core\ed91b57205429a23bb91f4499059a459\System.Core.ni.dll
MOD - [2012.05.11 12:16:11 | 009,091,584 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\System\6f9f0467e8b2dd3f69b015c8e30ac945\System.ni.dll
MOD - [2012.05.11 12:15:59 | 014,412,800 | ---- | M] () -- C:\WINDOWS\assembly\NativeImages_v4.0.30319_32\mscorlib\3953b1d8b9b57e4957bff8f58145384e\mscorlib.ni.dll
MOD - [2011.06.28 09:22:06 | 000,068,704 | ---- | M] () -- C:\DATEV\PROGRAMM\B0000150\ScServer\ScEventSourcePlugin.dll
MOD - [2011.05.09 14:52:00 | 000,203,264 | ---- | M] () -- C:\DATEV\SYSTEM\DVCCSipaHostApidll.dll
MOD - [2011.04.01 10:53:28 | 000,499,712 | ---- | M] () -- C:\Programme\Trend Micro\OfficeScan Client\sqlite3.dll
MOD - [2011.02.25 14:01:34 | 000,014,680 | ---- | M] () -- C:\WINDOWS\system32\skypdfmonpro.dll
MOD - [2010.09.22 16:47:14 | 000,007,776 | ---- | M] () -- C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardServicePS.dll
MOD - [2010.07.12 09:05:32 | 000,030,304 | ---- | M] () -- C:\DATEV\PROGRAMM\B0000150\ScServer\ScWinMagicPlugin.dll
MOD - [2009.02.27 16:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2007.08.09 14:24:46 | 000,021,504 | ---- | M] () -- C:\DATEV\SYSTEM\DvDfvkTrStart003.dll
MOD - [2004.07.27 10:27:38 | 000,184,320 | ---- | M] () -- C:\DATEV\SYSTEM\DVBSKNFOMT109.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices.Messaging.CentralMessagingService -- (Datev.Framework.RemoteServices.Messaging.CentralMessagingService)
SRV - File not found [On_Demand | Stopped] -- C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices -- (Datev.Framework.RemoteServices)
SRV - File not found [Auto | Running] -- C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService -- (Datev.Framework.RemoteServiceModel.EnablerService)
SRV - [2012.09.06 07:14:17 | 000,250,568 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012.04.20 15:16:00 | 000,609,704 | ---- | M] (baramundi software AG) [Auto | Running] -- C:\WINDOWS\system32\bfcrx.exe -- (BFCRX)
SRV - [2011.12.09 03:20:00 | 000,079,872 | ---- | M] (DATEV eG) [Auto | Running] -- C:\DATEV\PROGRAMM\B0001442\PSNTServ.exe -- (DatevPrintService)
SRV - [2011.12.05 12:02:24 | 001,832,152 | ---- | M] (Trend Micro Inc.) [Auto | Running] -- C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe -- (tmlisten)
SRV - [2011.12.05 11:55:50 | 001,905,024 | ---- | M] (Trend Micro Inc.) [Auto | Running] -- C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe -- (ntrtscan)
SRV - [2011.11.04 09:51:48 | 000,176,128 | ---- | M] (DATEV eG) [Auto | Running] -- C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe -- (Dcmanag)
SRV - [2011.07.25 02:49:00 | 000,172,640 | ---- | M] (DATEV eG) [Auto | Running] -- C:\DATEV\PROGRAMM\Install\DvInesASDSvc.Exe -- (DATEV Update-Service)
SRV - [2011.06.28 09:18:54 | 002,409,056 | ---- | M] (DATEV eG) [Auto | Running] -- C:\DATEV\PROGRAMM\B0000150\ScServer\DVckService.exe -- (DVckService)
SRV - [2011.06.16 16:46:22 | 000,345,616 | ---- | M] (Trend Micro Inc.) [On_Demand | Running] -- C:\Programme\Trend Micro\BM\TMBMSRV.exe -- (TMBMServer)
SRV - [2011.05.09 14:52:04 | 000,271,456 | ---- | M] (Datev eG) [Auto | Running] -- C:\DATEV\PROGRAMM\B0000398\SiPaHostService.exe -- (Sicherheitspaket-Dienst)
SRV - [2011.04.15 12:20:54 | 000,689,680 | ---- | M] (Trend Micro Inc.) [On_Demand | Stopped] -- C:\Programme\Trend Micro\OfficeScan Client\TmProxy.exe -- (TmProxy)
SRV - [2010.09.22 16:47:22 | 000,292,960 | ---- | M] (DATEV eG) [Auto | Running] -- C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardService.exe -- (SCardService)
SRV - [2009.01.28 10:52:46 | 002,790,400 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Auto | Running] -- C:\WINDOWS\system32\hasplms.exe -- (hasplms)
SRV - [2006.10.26 20:49:34 | 000,441,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006.10.26 15:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2003.06.19 23:25:00 | 000,322,120 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE -- (MDM)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2011.07.20 01:28:40 | 000,178,448 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\tmcomm.sys -- (tmcomm)
DRV - [2011.07.20 01:28:40 | 000,068,368 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\tmactmon.sys -- (tmactmon)
DRV - [2011.07.20 01:28:40 | 000,059,152 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\tmevtmgr.sys -- (tmevtmgr)
DRV - [2011.07.12 10:44:10 | 000,262,416 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\Programme\Trend Micro\OfficeScan Client\TmXpflt.sys -- (TmFilter)
DRV - [2011.07.12 10:43:58 | 000,036,624 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\Programme\Trend Micro\OfficeScan Client\TmPreflt.sys -- (TmPreFilter)
DRV - [2011.07.12 10:09:32 | 001,405,720 | ---- | M] (Trend Micro Inc.) [Kernel | Auto | Running] -- C:\Programme\Trend Micro\OfficeScan Client\vsapiNT.sys -- (VSApiNt)
DRV - [2010.12.07 14:58:38 | 000,090,448 | ---- | M] (Trend Micro Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\tmtdi.sys -- (tmtdi)
DRV - [2009.10.25 10:14:34 | 000,057,600 | ---- | M] (SCM Microsystems Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\SCR3XX2K.sys -- (SCR3XX2K)
DRV - [2009.02.03 03:10:12 | 000,586,752 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (Hardlock)
DRV - [2009.01.16 11:42:28 | 000,352,256 | ---- | M] (Aladdin Knowledge Systems Ltd.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\aksfridge.sys -- (aksfridge)
DRV - [2008.11.13 15:10:06 | 000,007,680 | ---- | M] (SCM Microsystems Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\STCFUx32.sys -- (STCFUx32)
DRV - [2007.07.10 09:56:34 | 004,449,280 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService)
DRV - [2006.02.26 22:46:20 | 000,081,408 | R--- | M] (Realtek Semiconductor Corporation                           ) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\Rtnicxp.sys -- (RTL8023xp)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{EABF9B44-A10E-41D7-A342-1F0E577F3EC5}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
 
IE - HKU\.DEFAULT\..\URLSearchHook: {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - No CLSID value found
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\URLSearchHook: {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - No CLSID value found
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
 
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.de
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-500\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..\SearchScopes,DefaultScope = {EABF9B44-A10E-41D7-A342-1F0E577F3EC5}
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..\SearchScopes\{8360C7BE-192F-4486-9763-10D37FAC56F0}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=U3&apn_dtid=OSJ000SSDE&apn_uid=28F8F17F-1720-47EE-AEB0-858F28E04FDD&apn_sauid=1BD5EDD5-4055-4FFF-AE35-DE3E15C94674
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..\SearchScopes\{EABF9B44-A10E-41D7-A342-1F0E577F3EC5}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7AURU_deDE500
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 172.17.8.30:3128
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.google.com/
CHR - homepage: hxxp://www.google.com/
 
O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (SCardBHOEvent Class) - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DVCCSASCardBHO002.dll (DATEV eG)
O3 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [DATEV Update-Monitor] C:\DATEV\PROGRAMM\Install\DvInesASDMon.exe (DATEV eG)
O4 - HKLM..\Run: [DATEV_SCardMan] C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardManager.exe (DATEV eG)
O4 - HKLM..\Run: [DVCCSAWTSSetEntryNTE] C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe (DATEV eG)
O4 - HKLM..\Run: [EMET Notifier] C:\Programme\EMET\EMET_notifier.exe (Microsoft Corporation)
O4 - HKLM..\Run: [OfficeScanNT Monitor] C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe (Trend Micro Inc.)
O4 - HKLM..\Run: [SiPaHost] C:\DATEV\PROGRAMM\B0000398\SiPaHost.exe (DATEV eG)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Basisschnittstelle Office V.5.1 Initialisierung.lnk = C:\DATEV\PROGRAMM\BSOffice\service\OfficeDiag.exe (DATEV eG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DFÜ-Manager.lnk = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe (DATEV eG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\RZ-Druckertreiber V.2.3.lnk = C:\DATEV\SYSTEM\RzpjWtch.exe (DATEV eG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SkyUserDevmode-Update.lnk = C:\DATEV\PROGRAMM\B0001401\UpdateDevmode.exe (DATEV eG)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html File not found
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..Trusted Domains: datev.at ([]http is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..Trusted Domains: datev.at ([]https is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..Trusted Domains: datev.com ([]http is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..Trusted Domains: datev.com ([]https is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..Trusted Domains: datev.de ([]http is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..Trusted Domains: datev.de ([]https is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..Trusted Domains: datev.de ([www] http is out of zone range -  5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..Trusted Domains: datev.de ([www] https is out of zone range -  5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..Trusted Domains: datevnet.de ([*.services] http is out of zone range -  5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..Trusted Domains: datevnet.de ([*.services] https is out of zone range -  5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..Trusted Domains: datevstadt.de ([]http is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..Trusted Domains: datevstadt.de ([]https is out of zone range - 5)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} https://172.17.8.26/officescan/console/html/ClientInstall/WinNTChk.cab (ObjWinNTCheck Class)
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} https://172.17.8.26/officescan/console/html/ClientInstall/setup.cab (OfficeScan Corp Edition Web-Deployment SetupCtrl Class)
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} https://172.17.8.26/officescan/console/html/root/AtxEnc.cab (Encrypt Class)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1318584046418 (WUWebControl Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = google.de
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{AF955E79-6033-49AB-854E-5E2B48CDE6C3}: NameServer = 172.17.8.35,172.17.8.75
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\DVCCSA: DllName - (DVCCSAnotify002.dll) - C:\WINDOWS\System32\DVCCSAnotify002.dll (DATEV eG)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop BackupWallPaper: 
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.06.22 08:33:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.10.05 09:50:06 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2012.10.04 11:27:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Macromedia
[2012.10.02 12:48:52 | 000,600,064 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\OTL.exe
[2012.10.02 09:40:13 | 000,000,000 | ---D | C] -- C:\logs
[2012.10.02 08:43:41 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.10.02 08:42:41 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe
[2012.10.01 16:48:30 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
[2012.10.01 16:48:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.10.01 16:48:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.10.01 16:48:15 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.10.01 16:48:15 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.10.01 16:48:04 | 010,524,080 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Administrator\Desktop\mbam-setup-1.65.0.1400.exe
[2012.09.28 08:02:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe
[2012.09.28 08:02:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe
[2012.09.28 06:12:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sun
[2012.09.27 11:22:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DATEV
[2012.09.27 10:38:25 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Search
[2012.09.27 10:02:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL
[2012.09.27 10:02:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\runouce.exe
[2012.09.27 10:02:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE
[2012.09.27 10:02:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe
[2012.09.27 09:43:17 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2012.09.27 09:43:10 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld
[2012.09.27 09:42:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2012.09.27 09:31:20 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Google
[2012.09.27 08:30:51 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Identities
[2012.09.27 08:30:39 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
[2012.09.26 15:06:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cuzjahebiqjyfwq
[2012.09.19 15:16:20 | 000,000,000 | ---D | C] -- C:\Programme\EMET
[2012.09.06 07:17:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Chrome
[2012.09.06 07:15:04 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Google
[2012.09.06 07:14:21 | 000,000,000 | ---D | C] -- C:\Programme\Google
[2012.09.06 07:14:21 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.10.05 11:31:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.10.05 11:25:01 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.10.05 10:31:06 | 000,009,417 | ---- | M] () -- C:\WINDOWS\cfgall.ini
[2012.10.05 10:03:44 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.10.05 09:58:38 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.10.04 09:33:38 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\z6hlkmhc.exe
[2012.10.04 09:28:53 | 000,302,592 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\rk58ycym.exe
[2012.10.02 12:48:56 | 000,600,064 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\OTL.exe
[2012.10.01 16:48:18 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.10.01 14:54:20 | 010,524,080 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Administrator\Desktop\mbam-setup-1.65.0.1400.exe
[2012.09.28 08:44:10 | 000,000,552 | ---- | M] () -- C:\WINDOWS\System32\d3d8caps.dat
[2012.09.28 08:13:14 | 908,149,760 | ---- | M] () -- C:\outlook.ost
[2012.09.28 08:13:13 | 000,271,360 | ---- | M] () -- C:\archive.pst
[2012.09.28 08:13:13 | 000,001,299 | ---- | M] () -- C:\Outlook.sharing.xml.obi
[2012.09.28 08:02:04 | 000,000,054 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2012.09.27 10:51:42 | 000,141,791 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\pinfect.zip
[2012.09.27 10:00:50 | 000,000,865 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\MWAVSCAN.lnk
[2012.09.27 09:43:16 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2012.09.27 09:31:22 | 000,001,769 | ---- | M] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Google Chrome.lnk
[2012.09.26 15:06:35 | 000,076,340 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dgfopgcmwzchyde
[2012.09.25 07:12:27 | 000,001,058 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2012.09.24 06:44:10 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.09.11 12:48:04 | 000,282,128 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.09.11 12:20:41 | 000,001,879 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2012.09.07 17:04:46 | 000,022,856 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.10.04 09:30:13 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\z6hlkmhc.exe
[2012.10.04 09:28:49 | 000,302,592 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\rk58ycym.exe
[2012.10.01 16:48:18 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.10.01 12:57:59 | 000,271,360 | ---- | C] () -- C:\archive.pst
[2012.10.01 12:57:59 | 000,001,299 | ---- | C] () -- C:\Outlook.sharing.xml.obi
[2012.10.01 12:56:50 | 908,149,760 | ---- | C] () -- C:\outlook.ost
[2012.09.28 08:44:10 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2012.09.27 10:51:42 | 000,141,791 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\pinfect.zip
[2012.09.27 10:00:50 | 000,000,865 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\MWAVSCAN.lnk
[2012.09.27 09:44:29 | 000,000,054 | ---- | C] () -- C:\WINDOWS\Lic.xxx
[2012.09.27 09:31:22 | 000,001,769 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Desktop\Google Chrome.lnk
[2012.09.26 15:06:27 | 000,076,340 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dgfopgcmwzchyde
[2012.09.06 07:14:56 | 000,001,090 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.09.06 07:14:56 | 000,001,086 | ---- | C] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.04.16 13:57:28 | 000,003,479 | ---- | C] () -- C:\WINDOWS\cfgwtp.ini
[2012.02.15 08:07:27 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.10.24 16:29:22 | 000,409,622 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-S-1-5-21-823518204-1844823847-1801674531-1232-0.dat
[2011.10.24 16:29:07 | 000,274,422 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\WPFFontCache_v0400-System.dat
[2011.10.04 08:26:33 | 000,001,092 | ---- | C] () -- C:\WINDOWS\cfgrs.ini
[2011.10.04 08:26:33 | 000,000,134 | ---- | C] () -- C:\WINDOWS\cfgrs_ex.ini
[2011.05.03 08:37:24 | 000,000,880 | ---- | C] () -- C:\WINDOWS\HBCIKRNL.INI
[2011.01.24 07:50:41 | 000,000,416 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2011.01.24 07:50:41 | 000,000,026 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2010.06.24 12:15:03 | 000,955,904 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\SAPActiveXL.xlt
[2010.06.24 12:15:03 | 000,949,760 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\SAPActiveXL_nosig.xlt
[2010.06.24 12:01:50 | 000,037,051 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
 
========== ZeroAccess Check ==========
 
[2010.06.25 09:02:49 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 07:52:26 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 07:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.09.27 11:22:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\DATEV
[2012.09.27 08:30:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Desktop Search
[2012.09.27 10:38:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Windows Search
[2012.09.26 15:06:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cuzjahebiqjyfwq
[2011.01.18 12:27:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DATEV
[2011.10.21 13:11:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe
[2012.09.27 09:43:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2010.08.04 14:23:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SkyCom
[2011.10.24 09:19:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\eifino\Anwendungsdaten\DATEV
[2011.10.21 13:11:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\eifino\Anwendungsdaten\Haufe
[2010.12.21 11:15:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\eifino\Anwendungsdaten\TeamViewer
[2011.10.14 13:41:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\eifino\Anwendungsdaten\Windows Desktop Search
[2011.10.17 07:40:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\eifino\Anwendungsdaten\Windows Search
 
========== Purity Check ==========
 
 

< End of report >
         

Gut soweit!

Wir entfernen den 2. Teil. Bevor du beginnst:

Wichtig: Lösche die OTL.exe und lade sie dir neu!



Schritt 1:
Fix mit OTL

Zitat:

Warnung: Dieses Skript wurde nur für diesen User und diese spezielle Situation geschrieben. Auf anderen Computern ausgeführt kann es nachhaltige Schäden anrichten!
Hinweis: Wenn du deinen Benutzernamen unkenntlich gemacht hast, musst du wieder deinen richtigen Namen einsetzen, ansonsten wird das Skript nicht funktionieren.

• Starte bitte die OTL.exe.
• Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
O3 - HKU\S-1-5-21-823518204-1844823847-1801674531-500\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
[2012.09.26 15:06:36 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cuzjahebiqjyfwq
:files
C:\Dokumente und Einstellungen\eifino\0.1550749705775012.exe
:Commands
[emptytemp]
         

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument auf deinem Desktop. ( Auch zu finden unter C:\_OTL\MovedFiles\<time_date>.txt)
• Kopiere nun den Inhalt hier in deinen Thread, möglichst in Code-Tags.

Hinweis: Die Ausführung des Kommandos kann einige Minuten dauern und OTL scheint in dieser Zeit nicht zu reagieren. Bitte geduldig sein!

Schritt 2:
Kontrollscan mit OTL

• Starte bitte OTL.exe
• Stelle sicher, dass "Alle Benuzter Scannen" angehakt ist!
• Drücke den Quick Scan Button.
• Poste die OTL.txt hier in deinen Thread.

Warnung: Registry-Cleaner

Zitat:

Lesestoff:
Registry-Cleaner und temporäre Dateien
Aus deinen Logfiles geht hervor, dass du eines dieser Programme benutzt. Wir empfehlen solche Programme nicht zu benutzen. Die Registrierung ist ein zentraler Bestandteil des Betriebssystems. Löscht ein Registry-Cleaner die falschen Zeilen kann das im schlimmsten Fall dazu führen, dass dein Computer unbootbar wird. Einige verwaiste Registryeinträge sind nicht weiter tragisch und auch die höhere Geschwindigkeit beim Booten ist normalerweise nicht merklich. Das Risiko, dass das Programm dein System "zerstört" ist einfach zu hoch. Ich empfehle dir also dringend, das Programm zu deinstallieren.

Beispielsweise bei CCleaner wird auch eine Funktion angeboten die temporären Dateien zu löschen. Wenn du von der Registrybereinigung die Finger läßt ist gegen den Einsatz von CCleaner nichts zu sagen. Ein alternatives Programm dafür möchte ich dir gerne noch empfehlen: TFC - einfach als Administrator starten und zurücklehnen.

Frage

Besteht das Problem noch? (Wir sind aber noch nicht fertig.)

Das läuft ja :-)
Schritt 1:

Code: Alles auswählenAufklappen

ATTFilter

All processes killed
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-823518204-1844823847-1801674531-500\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cuzjahebiqjyfwq folder moved successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\eifino\0.1550749705775012.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
 
User: Administrator.PERSONAL-103
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
 
User: NetworkService
 
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
->Temp folder emptied: 763363 bytes
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
->Temporary Internet Files folder emptied: 172110238 bytes
->Java cache emptied: 210316987 bytes
->Google Chrome cache emptied: 7311262 bytes
->Flash cache emptied: 506 bytes
 
User: eifino
 
%systemdrive% .tmp files removed: 0 bytes
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
%systemroot% .tmp files removed: 2148906 bytes
Unable to locate HKLM\Software\OldTimer Tools\OTL key.
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
RecycleBin emptied: 2974475 bytes
 
Total Files Cleaned = 377,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 10092012_090211
         

Schritt 2:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 09.10.2012 09:32:02 - Run 4
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\eifino\Eigene Dateien
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1,99 Gb Total Physical Memory | 1,28 Gb Available Physical Memory | 64,45% Memory free
3,84 Gb Paging File | 3,20 Gb Available in Paging File | 83,25% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 53,73 Gb Free Space | 72,10% Space Free | Partition Type: NTFS
Drive L: | 20,42 Gb Total Space | 3,78 Gb Free Space | 18,51% Space Free | Partition Type: NTFS
Drive R: | 643,09 Gb Total Space | 176,73 Gb Free Space | 27,48% Space Free | Partition Type: NTFS
Drive T: | 643,09 Gb Total Space | 176,73 Gb Free Space | 27,48% Space Free | Partition Type: NTFS
Drive V: | 643,09 Gb Total Space | 176,73 Gb Free Space | 27,48% Space Free | Partition Type: NTFS
Drive W: | 643,09 Gb Total Space | 176,73 Gb Free Space | 27,48% Space Free | Partition Type: NTFS
Drive X: | 643,09 Gb Total Space | 176,73 Gb Free Space | 27,48% Space Free | Partition Type: NTFS
 
Computer Name: PERSONAL-103 | User Name: eifino | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - C:\Dokumente und Einstellungen\eifino\Eigene Dateien\OTL.exe (OldTimer Tools)
PRC - C:\Programme\EMET\EMET_notifier.exe (Microsoft Corporation)
PRC - C:\Programme\Trend Micro\OfficeScan Client\PccNTMon.exe (Trend Micro Inc.)
PRC - C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe (DATEV eG)
PRC - C:\DATEV\SYSTEM\ccsrv3.exe (DATEV eG)
PRC - C:\DATEV\PROGRAMM\Install\DvInesASDMon.Exe (DATEV eG)
PRC - C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe (DATEV eG)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jucheck.exe (Sun Microsystems, Inc.)
PRC - C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
PRC - C:\DATEV\PROGRAMM\B0000398\SiPaHost.exe (DATEV eG)
PRC - C:\DATEV\PROGRAMM\B0000299\AS\as.exe (DATEVeG)
PRC - C:\DATEV\PROGRAMM\DFUEISDN\SSLClt\sslclt.exe (DATEV eG)
PRC - C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardManager.exe (DATEV eG)
PRC - C:\DATEV\SYSTEM\RzpjWtch.exe (DATEV eG)
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
 
 
========== Modules (No Company Name) ==========
 
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Windows.Forms\01abbadafaf265d9f4ac9bbb247acb98\System.Windows.Forms.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System.Drawing\d86f2038209a4cf0d0f5b30f6375c9b2\System.Drawing.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\System\e4b5afc4da43b1c576f9322f9f2e1bfe\System.ni.dll ()
MOD - C:\WINDOWS\assembly\NativeImages_v2.0.50727_32\mscorlib\e337c89bc9f81b69d7237aa70e935900\mscorlib.ni.dll ()
MOD - C:\DATEV\PROGRAMM\B0000150\ScServer\ScEventSourcePlugin.dll ()
MOD - C:\DATEV\SYSTEM\DVCCSipaHostApidll.dll ()
MOD - C:\DATEV\PROGRAMM\B0000150\ScServer\ScWinMagicPlugin.dll ()
MOD - C:\DATEV\PROGRAMM\B0000391\DokSchutzShExt.dll ()
MOD - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU ()
MOD - C:\DATEV\SYSTEM\DvDfvkTrStart003.dll ()
MOD - C:\DATEV\SYSTEM\DVBSKNFOMT109.dll ()
 
 
========== Services (SafeList) ==========
 
SRV - (Datev.Framework.RemoteServices.Messaging.CentralMessagingService) -- C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices.Messaging.CentralMessagingService File not found
SRV - (Datev.Framework.RemoteServices) -- C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServices File not found
SRV - (Datev.Framework.RemoteServiceModel.EnablerService) -- C:\DATEV\SYSTEM\Datev.Framework.RemoteServiceModel.GenericService2010.exe Datev.Framework.RemoteServiceModel.EnablerService File not found
SRV - (AdobeFlashPlayerUpdateSvc) -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe (Adobe Systems Incorporated)
SRV - (DatevPrintService) -- C:\DATEV\PROGRAMM\B0001442\PSNTServ.exe (DATEV eG)
SRV - (tmlisten) -- C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe (Trend Micro Inc.)
SRV - (ntrtscan) -- C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe (Trend Micro Inc.)
SRV - (Dcmanag) -- C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DcManag.exe (DATEV eG)
SRV - (DATEV Update-Service) -- C:\DATEV\PROGRAMM\Install\DvInesASDSvc.Exe (DATEV eG)
SRV - (DVckService) -- C:\DATEV\PROGRAMM\B0000150\ScServer\DVckService.exe (DATEV eG)
SRV - (TMBMServer) -- C:\Programme\Trend Micro\BM\TMBMSRV.exe (Trend Micro Inc.)
SRV - (Sicherheitspaket-Dienst) -- C:\DATEV\PROGRAMM\B0000398\SiPaHostService.exe (Datev eG)
SRV - (TmProxy) -- C:\Programme\Trend Micro\OfficeScan Client\TmProxy.exe (Trend Micro Inc.)
SRV - (SCardService) -- C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardService.exe (DATEV eG)
SRV - (hasplms) -- C:\WINDOWS\system32\hasplms.exe (Aladdin Knowledge Systems Ltd.)
SRV - (WmiApRpl) -- C:\WINDOWS\system32\wbem\wmiaprpl.dll (Microsoft Corporation)
SRV - (odserv) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE (Microsoft Corporation)
SRV - (ose) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE (Microsoft Corporation)
SRV - (MDM) -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE (Microsoft Corporation)
 
 
========== Driver Services (SafeList) ==========
 
DRV - (WDICA) --  File not found
DRV - (PDRFRAME) --  File not found
DRV - (PDRELI) --  File not found
DRV - (PDFRAME) --  File not found
DRV - (PDCOMP) --  File not found
DRV - (PCIDump) --  File not found
DRV - (lbrtfdc) --  File not found
DRV - (i2omgmt) --  File not found
DRV - (Changer) --  File not found
DRV - (tmcomm) -- C:\WINDOWS\system32\drivers\tmcomm.sys (Trend Micro Inc.)
DRV - (tmactmon) -- C:\WINDOWS\system32\drivers\tmactmon.sys (Trend Micro Inc.)
DRV - (tmevtmgr) -- C:\WINDOWS\system32\drivers\tmevtmgr.sys (Trend Micro Inc.)
DRV - (TmFilter) -- C:\Programme\Trend Micro\OfficeScan Client\TmXpflt.sys (Trend Micro Inc.)
DRV - (TmPreFilter) -- C:\Programme\Trend Micro\OfficeScan Client\TmPreflt.sys (Trend Micro Inc.)
DRV - (VSApiNt) -- C:\Programme\Trend Micro\OfficeScan Client\vsapiNT.sys (Trend Micro Inc.)
DRV - (tmtdi) -- C:\WINDOWS\system32\drivers\tmtdi.sys (Trend Micro Inc.)
DRV - (SCR3XX2K) -- C:\WINDOWS\system32\drivers\SCR3XX2K.sys (SCM Microsystems Inc.)
DRV - (Hardlock) -- C:\WINDOWS\system32\drivers\hardlock.sys (Aladdin Knowledge Systems Ltd.)
DRV - (aksfridge) -- C:\WINDOWS\system32\drivers\aksfridge.sys (Aladdin Knowledge Systems Ltd.)
DRV - (STCFUx32) -- C:\WINDOWS\system32\drivers\STCFUx32.sys (SCM Microsystems Inc.)
DRV - (WmiApRpl) -- C:\WINDOWS\system32\wbem\wmiaprpl.dll (Microsoft Corporation)
DRV - (IntcAzAudAddService) -- C:\WINDOWS\system32\drivers\RtkHDAud.sys (Realtek Semiconductor Corp.)
DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation                           )
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{EABF9B44-A10E-41D7-A342-1F0E577F3EC5}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
 
IE - HKU\.DEFAULT\..\URLSearchHook: {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - No CLSID value found
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\URLSearchHook: {6dfc55bb-bfff-485a-9709-90c3fdf6db58} - No CLSID value found
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.de
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - No CLSID value found
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..\SearchScopes\{5B3948C8-B7B3-493D-B6C0-C0AD043A6974}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=de_DE&apn_ptnrs=U3&apn_dtid=OSJ000SSDE&apn_uid=28F8F17F-1720-47EE-AEB0-858F28E04FDD&apn_sauid=1BD5EDD5-4055-4FFF-AE35-DE3E15C94674
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..\SearchScopes\{EABF9B44-A10E-41D7-A342-1F0E577F3EC5}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7AURU_deDE500
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 172.17.8.30:3128
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: c:\Programme\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.google.com/
CHR - homepage: hxxp://www.google.com/
CHR - Extension: YouTube = C:\Dokumente und Einstellungen\eifino\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\eifino\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\eifino\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
 
O1 HOSTS File: ([2006.02.28 14:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (SCardBHOEvent Class) - {AF8CD625-E04A-4A8F-A90A-0C74846C2E30} - C:\DATEV\SYSTEM\DVCCSASCardBHO002.dll (DATEV eG)
O3 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [DATEV Update-Monitor] C:\DATEV\PROGRAMM\Install\DvInesASDMon.exe (DATEV eG)
O4 - HKLM..\Run: [DATEV_SCardMan] C:\DATEV\PROGRAMM\B0000347\ScMgmt\SCardManager.exe (DATEV eG)
O4 - HKLM..\Run: [DVCCSAWTSSetEntryNTE] C:\DATEV\PROGRAMM\B0000150\ScWTS\DVCCSAWTSSetEntryNTE.exe (DATEV eG)
O4 - HKLM..\Run: [EMET Notifier] C:\Programme\EMET\EMET_notifier.exe (Microsoft Corporation)
O4 - HKLM..\Run: [OfficeScanNT Monitor] C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe (Trend Micro Inc.)
O4 - HKLM..\Run: [SiPaHost] C:\DATEV\PROGRAMM\B0000398\SiPaHost.exe (DATEV eG)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232..\Run: [jzppoywvixohmut] C:\WINDOWS\jzppoywv.exe File not found
O4 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Basisschnittstelle Office V.5.1 Initialisierung.lnk = C:\DATEV\PROGRAMM\BSOffice\service\OfficeDiag.exe (DATEV eG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\DFÜ-Manager.lnk = C:\DATEV\PROGRAMM\B0000000\DFUEMNGR\DfueMan.exe (DATEV eG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\RZ-Druckertreiber V.2.3.lnk = C:\DATEV\SYSTEM\RzpjWtch.exe (DATEV eG)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\SkyUserDevmode-Update.lnk = C:\DATEV\PROGRAMM\B0001401\UpdateDevmode.exe (DATEV eG)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 153
O7 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: LinkResolveIgnoreLinkInfo = 1
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_6CE5017F567343CA.dll/cmsidewiki.html File not found
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 File not found
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..Trusted Domains: datev.at ([]http is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..Trusted Domains: datev.at ([]https is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..Trusted Domains: datev.com ([]http is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..Trusted Domains: datev.com ([]https is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..Trusted Domains: datev.de ([]http is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..Trusted Domains: datev.de ([]https is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..Trusted Domains: datev.de ([www] http is out of zone range -  5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..Trusted Domains: datev.de ([www] https is out of zone range -  5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..Trusted Domains: datevnet.de ([*.services] http is out of zone range -  5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..Trusted Domains: datevnet.de ([*.services] https is out of zone range -  5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..Trusted Domains: datevstadt.de ([]http is out of zone range - 5)
O15 - HKU\S-1-5-21-823518204-1844823847-1801674531-1232\..Trusted Domains: datevstadt.de ([]https is out of zone range - 5)
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} https://172.17.8.26/officescan/console/html/ClientInstall/WinNTChk.cab (ObjWinNTCheck Class)
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} https://172.17.8.26/officescan/console/html/ClientInstall/setup.cab (OfficeScan Corp Edition Web-Deployment SetupCtrl Class)
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} https://172.17.8.26/officescan/console/html/root/AtxEnc.cab (Encrypt Class)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} hxxp://windowsupdate.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1318584046418 (WUWebControl Class)
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab (OnlineScanner Control)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\DVCCSA: DllName - (DVCCSAnotify002.dll) - C:\WINDOWS\System32\DVCCSAnotify002.dll (DATEV eG)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\eifino\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\eifino\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O28 - HKLM ShellExecuteHooks: {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Programme\Windows Desktop Search\MsnlNamespaceMgr.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.06.22 08:33:03 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.10.09 09:02:11 | 000,000,000 | ---D | C] -- C:\_OTL
[2012.10.09 08:58:44 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\eifino\Eigene Dateien\OTL.exe
[2012.10.05 09:50:06 | 000,000,000 | ---D | C] -- C:\Programme\CCleaner
[2012.10.02 09:40:13 | 000,000,000 | ---D | C] -- C:\logs
[2012.10.02 08:43:41 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2012.10.01 16:48:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2012.10.01 16:48:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2012.10.01 16:48:15 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2012.10.01 16:48:15 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2012.09.28 08:02:53 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo1_.exe
[2012.09.28 08:02:52 | 000,000,000 | ---D | C] -- C:\WINDOWS\rundll16.exe
[2012.09.27 10:02:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\VDLL.DLL
[2012.09.27 10:02:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\runouce.exe
[2012.09.27 10:02:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\RUNDL132.EXE
[2012.09.27 10:02:19 | 000,000,000 | ---D | C] -- C:\WINDOWS\logo_1.exe
[2012.09.27 09:43:19 | 000,632,064 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr80.dll
[2012.09.27 09:43:18 | 000,554,240 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp80.dll
[2012.09.27 09:43:17 | 000,034,048 | ---- | C] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2012.09.27 09:43:12 | 000,153,600 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\REGEDIT.COM
[2012.09.27 09:43:12 | 000,153,600 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\R.COM
[2012.09.27 09:43:12 | 000,140,800 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\TASKMGR.COM
[2012.09.27 09:43:12 | 000,140,800 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\T.COM
[2012.09.27 09:43:10 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\MicroWorld
[2012.09.27 09:42:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2012.09.19 15:16:20 | 000,000,000 | ---D | C] -- C:\Programme\EMET

[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2012.10.09 09:31:39 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\eifino\Eigene Dateien\OTL.exe
[2012.10.09 09:31:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2012.10.09 09:25:17 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2012.10.09 09:22:10 | 000,009,417 | ---- | M] () -- C:\WINDOWS\cfgall.ini
[2012.10.09 09:13:54 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2012.10.09 09:10:47 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2012.10.08 10:41:37 | 000,020,647 | RHS- | M] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
[2012.10.01 16:48:18 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.09.28 08:44:10 | 000,000,552 | ---- | M] () -- C:\WINDOWS\System32\d3d8caps.dat
[2012.09.28 08:13:14 | 908,149,760 | ---- | M] () -- C:\outlook.ost
[2012.09.28 08:13:13 | 000,271,360 | ---- | M] () -- C:\archive.pst
[2012.09.28 08:13:13 | 000,001,299 | ---- | M] () -- C:\Outlook.sharing.xml.obi
[2012.09.28 08:07:57 | 000,211,302 | ---- | M] () -- C:\Dokumente und Einstellungen\eifino\Eigene Dateien\pinfect.zip
[2012.09.28 08:02:04 | 000,000,054 | ---- | M] () -- C:\WINDOWS\Lic.xxx
[2012.09.27 09:43:18 | 000,632,064 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcr80.dll
[2012.09.27 09:43:17 | 000,554,240 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\msvcp80.dll
[2012.09.27 09:43:16 | 000,034,048 | ---- | M] (MicroWorld Technologies Inc.) -- C:\WINDOWS\System32\eEmpty.exe
[2012.09.26 15:06:35 | 000,076,340 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dgfopgcmwzchyde
[2012.09.25 07:12:27 | 000,001,058 | ---- | M] () -- C:\WINDOWS\ODBC.INI
[2012.09.24 06:44:10 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2012.09.11 12:48:04 | 000,282,128 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2012.09.11 12:20:41 | 000,001,879 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2012.10.01 16:48:18 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.10.01 12:57:59 | 000,271,360 | ---- | C] () -- C:\archive.pst
[2012.10.01 12:57:59 | 000,001,299 | ---- | C] () -- C:\Outlook.sharing.xml.obi
[2012.10.01 12:56:50 | 908,149,760 | ---- | C] () -- C:\outlook.ost
[2012.09.28 08:44:10 | 000,000,552 | ---- | C] () -- C:\WINDOWS\System32\d3d8caps.dat
[2012.09.28 07:37:13 | 000,211,302 | ---- | C] () -- C:\Dokumente und Einstellungen\eifino\Eigene Dateien\pinfect.zip
[2012.09.27 09:44:29 | 000,000,054 | ---- | C] () -- C:\WINDOWS\Lic.xxx
[2012.09.26 15:06:27 | 000,076,340 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dgfopgcmwzchyde
[2012.04.16 13:57:28 | 000,003,479 | ---- | C] () -- C:\WINDOWS\cfgwtp.ini
[2012.03.28 16:07:06 | 000,002,075 | ---- | C] () -- C:\Dokumente und Einstellungen\eifino\81907108d.csv
[2012.03.28 16:07:06 | 000,000,415 | ---- | C] () -- C:\Dokumente und Einstellungen\eifino\81907108b.csv
[2012.03.28 16:07:06 | 000,000,387 | ---- | C] () -- C:\Dokumente und Einstellungen\eifino\81907108c.csv
[2012.03.28 16:07:06 | 000,000,194 | ---- | C] () -- C:\Dokumente und Einstellungen\eifino\81907108a.csv
[2012.03.28 14:17:30 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\eifino\.Elan11Lock
[2012.02.15 08:07:27 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011.10.04 08:26:33 | 000,001,092 | ---- | C] () -- C:\WINDOWS\cfgrs.ini
[2011.10.04 08:26:33 | 000,000,134 | ---- | C] () -- C:\WINDOWS\cfgrs_ex.ini
[2011.07.29 09:02:22 | 000,004,823 | ---- | C] () -- C:\Dokumente und Einstellungen\eifino\Lokale Einstellungen\Anwendungsdaten\EmptySettings.xml
[2011.05.03 08:37:24 | 000,000,880 | ---- | C] () -- C:\WINDOWS\HBCIKRNL.INI
[2011.01.24 07:50:41 | 000,000,416 | ---- | C] () -- C:\WINDOWS\BRWMARK.INI
[2011.01.24 07:50:41 | 000,000,026 | ---- | C] () -- C:\WINDOWS\BRPP2KA.INI
[2010.08.04 14:13:01 | 000,000,152 | ---- | C] () -- C:\Dokumente und Einstellungen\eifino\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2010.06.24 12:15:03 | 000,955,904 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\SAPActiveXL.xlt
[2010.06.24 12:15:03 | 000,949,760 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\SAPActiveXL_nosig.xlt
[2010.06.24 12:01:50 | 000,020,647 | RHS- | C] () -- C:\Dokumente und Einstellungen\All Users\ntuser.pol
 
========== ZeroAccess Check ==========
 
[2010.06.25 09:02:49 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 07:52:26 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 12:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 07:52:34 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2011.01.18 12:27:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DATEV
[2011.10.21 13:11:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Haufe
[2012.09.27 09:43:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
[2010.08.04 14:23:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SkyCom
[2011.10.24 09:19:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\eifino\Anwendungsdaten\DATEV
[2011.10.21 13:11:10 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\eifino\Anwendungsdaten\Haufe
[2010.12.21 11:15:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\eifino\Anwendungsdaten\TeamViewer
[2011.10.14 13:41:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\eifino\Anwendungsdaten\Windows Desktop Search
[2011.10.17 07:40:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\eifino\Anwendungsdaten\Windows Search
 
========== Purity Check ==========
 < End of report >
         

Antwort auf Deine Frage: Ja, das Profil funktioniert wieder :-)))))
Also, um richtig zu antworten: Nein, das Problem besteht nicht mehr. Ich sag deshalb schon mal tausend DANK