Kein Zugriff mehr auf Partitionen

bliss · 16.12.2012, 15:10

Hi liebe Helfer,

auf meinem Windows-7-PC (32bit) hatte ich seit gestern ein paar blue screens of death. Ich hab mich schon gefragt, was da los ist, aber Microsoft Security Essentials fanden nichts und großartig ernstgenommen habe ich es erstmal nicht. Auf einmal waren dann sämtliche Partitionen außer der Systempartition verschwunden, alle Links dorthin führen ins Leere.

Wäre schön, die Daten wiederzubekommen, vor allem aber das ganze System nicht neu aufsetzen zu müssen... Das letzte Backup ist 1-2 Wochen alt, und da sind auch Daten von meinem Job drauf.

Welche Scans braucht ihr, um mir nen Tip geben zu können?

Beste Grüße,
bliss

cosinus · 17.12.2012, 19:19

Hallo und

Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner?
Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520

Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten!

bliss · 17.12.2012, 19:25

Hallo, nee bis jetzt hab ich noch keine Scans gemacht. Außer dem von Microsoft Security Essentials, der aber nichts gefunden hatte. Es gibt allerdings Neuigkeiten: Die Partitionen sind nach dem 2. oder 3. Neustart wieder aufgetaucht. Einen weiteren Bluescreen hat es aber auch gegeben (während ich versuchte, von den wieder aufgetauchten Partitionen schnell noch ein paar Daten zu retten). Soll ich Malwarebytes probieren?

cosinus · 17.12.2012, 19:52

Zitat:

Soll ich Malwarebytes probieren?

machen wir später oder hast du schon Logs dazu?

bliss · 17.12.2012, 20:14

Nein, wie gesagt keine Logs.

cosinus · 17.12.2012, 20:36

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.

Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.
Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.
Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!
Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!
Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.

Mach bitte einen CustomScan mit OTL . Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

ATTFilter

 hier steht das Log

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop. Falls schon vorhanden, bitte die ältere vorhandene Datei durch die neu heruntergeladene Datei ersetzen, damit du auch wirklich mit einer aktuellen Version von OTL arbeitest.

Starte bitte die OTL.exe.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Setze oben mittig den Haken bei Scanne alle Benutzer
Kopiere nun den kompletten Inhalt aus der untenstehenden Codebox in die Textbox von OTL - wenn OTL auf deutsch ist wird sie mit beschriftet

Code:

ATTFilter

msconfig
netsvcs
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMROOT%\system32\drivers\*.sys /lockedfiles
%SYSTEMROOT%\System32\config\*.sav
%SYSTEMROOT%\*. /mp /s
%SYSTEMROOT%\system32\*.dll /lockedfiles
CREATERESTOREPOINT

Schliesse bitte nun alle Programme. (Wichtig)
Klicke nun bitte auf den Quick Scan Button.
Klick auf .
Kopiere nun den Inhalt aus OTL.txt hier in Deinen Thread

bliss · 17.12.2012, 21:12

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 17.12.2012 21:05:11 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\Hendrik\Desktop
 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,99 Gb Total Physical Memory | 2,41 Gb Available Physical Memory | 80,47% Memory free
5,98 Gb Paging File | 5,08 Gb Available in Paging File | 85,05% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 111,69 Gb Total Space | 62,01 Gb Free Space | 55,52% Space Free | Partition Type: NTFS
Drive D: | 50,00 Gb Total Space | 0,76 Gb Free Space | 1,52% Space Free | Partition Type: NTFS
Drive E: | 272,61 Gb Total Space | 80,83 Gb Free Space | 29,65% Space Free | Partition Type: NTFS
Drive F: | 50,00 Gb Total Space | 40,29 Gb Free Space | 80,58% Space Free | Partition Type: NTFS
Drive I: | 931,51 Gb Total Space | 22,00 Gb Free Space | 2,36% Space Free | Partition Type: NTFS
Drive J: | 465,64 Gb Total Space | 187,92 Gb Free Space | 40,36% Space Free | Partition Type: FAT32
 
Computer Name: LOKI | User Name: Hendrik | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2012.12.17 20:43:48 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Hendrik\Desktop\OTL.exe
PRC - [2012.07.27 21:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
PRC - [2012.05.24 19:39:22 | 027,112,840 | ---- | M] (Dropbox, Inc.) -- C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\Dropbox.exe
PRC - [2012.03.26 16:08:12 | 000,931,200 | ---- | M] (Microsoft Corporation) -- C:\Program Files\Microsoft Security Client\msseces.exe
PRC - [2012.03.26 16:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) -- c:\Program Files\Microsoft Security Client\MsMpEng.exe
PRC - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files\DivX\DivX Update\DivXUpdate.exe
PRC - [2011.04.06 02:59:04 | 000,393,216 | ---- | M] (AMD) -- C:\Windows\System32\atieclxx.exe
PRC - [2011.04.06 02:58:36 | 000,176,128 | ---- | M] (AMD) -- C:\Windows\System32\atiesrxx.exe
PRC - [2010.11.20 13:17:47 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2010.11.20 13:17:09 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2010.05.14 14:24:24 | 000,517,440 | ---- | M] (D-Link Corp.) -- C:\Program Files\D-Link\DWA-547 revA\wirelesscm.exe
PRC - [2009.06.06 18:24:02 | 000,769,024 | ---- | M] (Dominik Reichl) -- E:\Eigene Dateien\Programme\Portable KeePass\KeePassPortable\App\keepass\KeePass.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2011.07.29 00:09:42 | 000,096,112 | ---- | M] () -- C:\Program Files\DivX\DivX Update\DivXUpdateCheck.dll
MOD - [2011.07.29 00:08:12 | 001,259,376 | ---- | M] () -- C:\Program Files\DivX\DivX Update\DivXUpdate.exe
MOD - [2009.10.07 15:58:10 | 000,376,832 | ---- | M] () -- C:\Program Files\D-Link\DWA-547 revA\WlanDll.dll
MOD - [2009.09.08 17:04:32 | 000,208,896 | ---- | M] () -- C:\Program Files\D-Link\DWA-547 revA\WLanWps.dll
 
 
========== Services (SafeList) ==========
 
SRV - [2012.12.01 20:56:50 | 000,115,168 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012.07.27 21:51:26 | 000,063,960 | ---- | M] (Adobe Systems Incorporated) [Auto | Running] -- C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe -- (AdobeARMservice)
SRV - [2012.07.13 12:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.03.26 16:03:40 | 000,214,952 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- c:\Program Files\Microsoft Security Client\NisSrv.exe -- (NisSrv)
SRV - [2012.03.26 16:03:40 | 000,011,552 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Program Files\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2011.04.22 10:16:52 | 001,343,400 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\Wat\WatAdminSvc.exe -- (WatAdminSvc)
SRV - [2011.04.06 02:58:36 | 000,176,128 | ---- | M] (AMD) [Auto | Running] -- C:\Windows\System32\atiesrxx.exe -- (AMD External Events Utility)
SRV - [2011.03.16 09:42:06 | 000,407,336 | ---- | M] (Valve Corporation) [On_Demand | Stopped] -- C:\Program Files\Common Files\Steam\SteamService.exe -- (Steam Client Service)
SRV - [2009.07.14 02:16:15 | 000,016,384 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\StorSvc.dll -- (StorSvc)
SRV - [2009.07.14 02:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 02:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 02:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
SRV - [2008.09.26 18:02:28 | 000,954,368 | ---- | M] (Atheros Communications, Inc.) [On_Demand | Stopped] -- C:\Program Files\D-Link\DWA-547 revA\jswpsapi.exe -- (jswpsapi)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | System | Stopped] -- c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{27A58688-60A8-4B0E-B6C1-EF32AFF90F0C}\MpKsl2bfd09c6.sys -- (MpKsl2bfd09c6)
DRV - [2012.03.20 19:44:12 | 000,074,112 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\NisDrvWFP.sys -- (NisDrv)
DRV - [2011.04.27 22:50:45 | 000,218,688 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\System32\drivers\dtsoftbus01.sys -- (dtsoftbus01)
DRV - [2011.04.22 12:01:49 | 000,231,248 | ---- | M] (TrueCrypt Foundation) [Kernel | System | Running] -- C:\Windows\System32\drivers\truecrypt.sys -- (truecrypt)
DRV - [2011.04.06 05:10:38 | 007,774,208 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2011.04.06 05:10:38 | 007,774,208 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmdag.sys -- (amdkmdag)
DRV - [2011.04.06 02:21:22 | 000,242,176 | ---- | M] (Advanced Micro Devices, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\atikmpag.sys -- (amdkmdap)
DRV - [2010.11.20 13:30:15 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmbus.sys -- (vmbus)
DRV - [2010.11.20 13:30:15 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010.11.20 13:30:15 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\storvsc.sys -- (storvsc)
DRV - [2010.11.20 11:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010.11.20 10:14:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010.11.20 10:14:41 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vms3cap.sys -- (s3cap)
DRV - [2010.04.21 10:11:12 | 001,268,736 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\athr.sys -- (athr)
DRV - [2008.05.15 02:28:44 | 000,020,384 | ---- | M] (Atheros Communications, Inc.) [Kernel | System | Running] -- C:\Windows\System32\drivers\jswpslwf.sys -- (jswpslwf)
DRV - [2005.06.13 09:08:36 | 000,085,664 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\w800obex.sys -- (w800obex)
DRV - [2005.06.13 09:06:58 | 000,087,792 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\w800mgmt.sys -- (w800mgmt)
DRV - [2005.06.13 09:05:16 | 000,096,224 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\w800mdm.sys -- (w800mdm)
DRV - [2005.06.13 09:05:08 | 000,009,264 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\w800mdfl.sys -- (w800mdfl)
DRV - [2005.06.13 09:03:12 | 000,060,768 | ---- | M] (MCCI) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\w800bus.sys -- (w800bus)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..browser.search.openintab: true
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledAddons: abhere2%40moztw.org:17.0.20121128
FF - prefs.js..extensions.enabledAddons: CompactMenuCE%40Merci.chao:5.1.0
FF - prefs.js..extensions.enabledAddons: OPIE%40guid.customsoftwareconsult.com:4.0
FF - prefs.js..extensions.enabledAddons: %7B4BBDD651-70CF-4821-84F8-2B918CF89CA3%7D:7.0.3.5
FF - prefs.js..extensions.enabledAddons: %7BA4732521-77D9-447E-A557-B279AC923F06%7D:0.6.9
FF - prefs.js..extensions.enabledAddons: %7Bb9db16a4-6edc-47ec-a1f4-b86292ed211d%7D:4.9.12
FF - prefs.js..extensions.enabledAddons: %7BD4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389%7D:0.9.10
FF - prefs.js..extensions.enabledAddons: %7Bdc572301-7619-498c-a57d-39143191b318%7D:0.4.0.3.1
FF - prefs.js..extensions.enabledAddons: %7BDDC359D1-844A-42a7-9AA1-88A850A938A8%7D:2.0.15
FF - prefs.js..extensions.enabledAddons: foxmarks%40kei.com:4.1.3
FF - prefs.js..extensions.enabledAddons: %7B1280606b-2510-4fe0-97ef-9b5a22eafe30%7D:0.7.9.2
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:17.0.1
FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.1
FF - prefs.js..extensions.enabledItems: abhere2@moztw.org:3.5.20091115
FF - prefs.js..extensions.enabledItems: {D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}:0.9.7
FF - prefs.js..extensions.enabledItems: {DDC359D1-844A-42a7-9AA1-88A850A938A8}:1.1.10
FF - prefs.js..extensions.enabledItems: {4BBDD651-70CF-4821-84F8-2B918CF89CA3}:6.3.3.2
FF - prefs.js..extensions.enabledItems: {A4732521-77D9-447E-A557-B279AC923F06}:0.6.6
FF - prefs.js..extensions.enabledItems: IncredibleBookmarks@visibotech.com:0.7.3
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0017-0000-0000-ABCDEFFEDCBA}:7.0
FF - prefs.js..extensions.enabledItems: OPIE@guid.customsoftwareconsult.com:1.2.3
FF - prefs.js..extensions.enabledItems: {1a6907cb-d310-4d82-bded-c0dd31f8d9a2}:1.8
FF - prefs.js..extensions.enabledItems: CompactMenuCE@Merci.chao:4.2.1
FF - prefs.js..extensions.enabledItems: {1280606b-2510-4fe0-97ef-9b5a22eafe30}:0.6.8.3
FF - prefs.js..extensions.enabledItems: {dc572301-7619-498c-a57d-39143191b318}:0.3.8.4
FF - prefs.js..network.proxy.autoconfig_url: "hxxp://www.rz.uni-osnabrueck.de/proxy/proxy.pac"
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_135.dll ()
FF - HKLM\Software\MozillaPlugins\@divx.com/DivX VOD Helper,version=1.0.0: C:\Program Files\DivX\DivX OVS Helper\npovshelper.dll (DivX, LLC.)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Program Files\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.9.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.9.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.4: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Program Files\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2012.12.01 20:56:50 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 17.0.1\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2011.05.23 21:12:37 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 3.1.10\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
 
[2011.04.21 21:28:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Extensions
[2011.04.21 21:28:33 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Extensions\{3550f703-e582-4d05-9a08-453d09bdfdc6}
[2012.12.16 12:02:07 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions
[2012.07.19 19:56:39 | 000,000,000 | ---D | M] (FEBE) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{4BBDD651-70CF-4821-84F8-2B918CF89CA3}
[2012.11.21 19:30:20 | 000,000,000 | ---D | M] (DownloadHelper) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}
[2012.12.05 22:14:40 | 000,000,000 | ---D | M] ("Xmarks") -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\foxmarks@kei.com
[2012.12.02 15:19:39 | 000,065,602 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\abhere2@moztw.org.xpi
[2012.06.26 07:50:50 | 000,073,806 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\CompactMenuCE@Merci.chao.xpi
[2011.12.23 10:21:08 | 000,345,230 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\OPIE@guid.customsoftwareconsult.com.xpi
[2012.12.16 12:02:07 | 000,516,464 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{1280606b-2510-4fe0-97ef-9b5a22eafe30}.xpi
[2011.11.26 17:42:20 | 000,089,724 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{A4732521-77D9-447E-A557-B279AC923F06}.xpi
[2012.11.25 18:41:45 | 000,804,627 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi
[2011.11.26 17:42:12 | 000,434,392 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389}.xpi
[2012.12.02 15:19:39 | 000,710,866 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{dc572301-7619-498c-a57d-39143191b318}.xpi
[2012.09.23 23:16:59 | 000,698,867 | ---- | M] () (No name found) -- C:\Users\Hendrik\AppData\Roaming\Mozilla\Firefox\Profiles\dab38va9.default\extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8}.xpi
[2012.12.01 20:56:30 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files\Mozilla Firefox\extensions
[2012.12.01 20:56:30 | 000,000,000 | ---D | M] (Skype extension) -- C:\Program Files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
[2012.12.01 20:56:50 | 000,262,112 | ---- | M] (Mozilla Foundation) -- C:\Program Files\mozilla firefox\components\browsercomps.dll
[2012.07.19 21:55:52 | 000,001,392 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\amazondotcom-de.xml
[2012.09.23 23:16:51 | 000,002,465 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\bing.xml
[2012.07.19 21:55:52 | 000,001,153 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\eBay-de.xml
[2012.07.19 21:55:52 | 000,006,805 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\leo_ende_de.xml
[2012.07.19 21:55:52 | 000,001,178 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\wikipedia-de.xml
[2012.07.19 21:55:52 | 000,001,105 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\yahoo-de.xml
 
O1 HOSTS File: ([2009.06.10 22:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O4 - HKLM..\Run: [DivXUpdate] C:\Program Files\DivX\DivX Update\DivXUpdate.exe ()
O4 - HKLM..\Run: [MSC] c:\Program Files\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000..\Run: [KeePass Password Safe] E:\Eigene Dateien\Programme\Portable KeePass\KeePassPortable\App\keepass\keepass.exe (Dominik Reichl)
O4 - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000..\Run: [Steam] C:\Program Files\Steam\Steam.exe (Valve Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - Startup: C:\Users\Hendrik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk = C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\Dropbox.exe (Dropbox, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: EnableLUA = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\S-1-5-21-2261802461-3846753505-3277762590-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\Windows\System32\GPhotos.scr (Google Inc.)
O9 - Extra Button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O13 - gopher Prefix: missing
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.254
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{8E3EA4B3-19C0-4579-8D8B-12FFEFE8111C}: DhcpNameServer = 192.168.2.254
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program Files\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 22:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O32 - AutoRun File - [2007.02.07 15:26:35 | 000,000,000 | ---- | M] () - D:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{ef2a251e-6c54-11e0-aeae-d22f56e35763}\Shell - "" = AutoRun
O33 - MountPoints2\{ef2a251e-6c54-11e0-aeae-d22f56e35763}\Shell\AutoRun\command - "" = "J:\WD SmartWare.exe" autoplay=true
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
MsConfig - StartUpReg: DAEMON Tools Lite - hkey= - key= - C:\Program Files\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)
MsConfig - StartUpReg: WinampAgent - hkey= - key= - C:\Program Files\Winamp\winampa.exe ()
 
NetSvcs: FastUserSwitchingCompatibility -  File not found
NetSvcs: Ias - C:\Windows\System32\ias.dll (Microsoft Corporation)
NetSvcs: Nla -  File not found
NetSvcs: Ntmssvc -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: SRService -  File not found
NetSvcs: WmdmPmSp -  File not found
NetSvcs: LogonHours -  File not found
NetSvcs: PCAudit -  File not found
NetSvcs: helpsvc -  File not found
NetSvcs: uploadmgr -  File not found
 
SafeBootMin: Base - Driver Group
SafeBootMin: Boot Bus Extender - Driver Group
SafeBootMin: Boot file system - Driver Group
SafeBootMin: File system - Driver Group
SafeBootMin: Filter - Driver Group
SafeBootMin: HelpSvc - Service
SafeBootMin: MsMpSvc - c:\Program Files\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SafeBootMin: NTDS -  File not found
SafeBootMin: PCI Configuration - Driver Group
SafeBootMin: PNP Filter - Driver Group
SafeBootMin: Primary disk - Driver Group
SafeBootMin: sacsvr - Service
SafeBootMin: SCSI Class - Driver Group
SafeBootMin: System Bus Extender - Driver Group
SafeBootMin: vmms - Service
SafeBootMin: WinDefend - C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SafeBootMin: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootMin: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootMin: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootMin: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootMin: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootMin: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootMin: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootMin: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootMin: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootMin: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootMin: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootMin: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootMin: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootMin: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootMin: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootMin: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootMin: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
SafeBootNet: Base - Driver Group
SafeBootNet: Boot Bus Extender - Driver Group
SafeBootNet: Boot file system - Driver Group
SafeBootNet: File system - Driver Group
SafeBootNet: Filter - Driver Group
SafeBootNet: HelpSvc - Service
SafeBootNet: Messenger - Service
SafeBootNet: MsMpSvc - c:\Program Files\Microsoft Security Client\MsMpEng.exe (Microsoft Corporation)
SafeBootNet: NDIS Wrapper - Driver Group
SafeBootNet: NetBIOSGroup - Driver Group
SafeBootNet: NetDDEGroup - Driver Group
SafeBootNet: Network - Driver Group
SafeBootNet: NetworkProvider - Driver Group
SafeBootNet: NTDS -  File not found
SafeBootNet: PCI Configuration - Driver Group
SafeBootNet: PNP Filter - Driver Group
SafeBootNet: PNP_TDI - Driver Group
SafeBootNet: Primary disk - Driver Group
SafeBootNet: rdsessmgr - Service
SafeBootNet: sacsvr - Service
SafeBootNet: SCSI Class - Driver Group
SafeBootNet: Streams Drivers - Driver Group
SafeBootNet: System Bus Extender - Driver Group
SafeBootNet: TDI - Driver Group
SafeBootNet: vmms - Service
SafeBootNet: WinDefend - C:\Program Files\Windows Defender\MpSvc.dll (Microsoft Corporation)
SafeBootNet: WudfUsbccidDriver - Driver
SafeBootNet: {36FC9E60-C465-11CF-8056-444553540000} - Universal Serial Bus controllers
SafeBootNet: {4D36E965-E325-11CE-BFC1-08002BE10318} - CD-ROM Drive
SafeBootNet: {4D36E967-E325-11CE-BFC1-08002BE10318} - DiskDrive
SafeBootNet: {4D36E969-E325-11CE-BFC1-08002BE10318} - Standard floppy disk controller
SafeBootNet: {4D36E96A-E325-11CE-BFC1-08002BE10318} - Hdc
SafeBootNet: {4D36E96B-E325-11CE-BFC1-08002BE10318} - Keyboard
SafeBootNet: {4D36E96F-E325-11CE-BFC1-08002BE10318} - Mouse
SafeBootNet: {4D36E972-E325-11CE-BFC1-08002BE10318} - Net
SafeBootNet: {4D36E973-E325-11CE-BFC1-08002BE10318} - NetClient
SafeBootNet: {4D36E974-E325-11CE-BFC1-08002BE10318} - NetService
SafeBootNet: {4D36E975-E325-11CE-BFC1-08002BE10318} - NetTrans
SafeBootNet: {4D36E977-E325-11CE-BFC1-08002BE10318} - PCMCIA Adapters
SafeBootNet: {4D36E97B-E325-11CE-BFC1-08002BE10318} - SCSIAdapter
SafeBootNet: {4D36E97D-E325-11CE-BFC1-08002BE10318} - System
SafeBootNet: {4D36E980-E325-11CE-BFC1-08002BE10318} - Floppy disk drive
SafeBootNet: {50DD5230-BA8A-11D1-BF5D-0000F805F530} - Smart card readers
SafeBootNet: {533C5B84-EC70-11D2-9505-00C04F79DEAF} - Volume shadow copy
SafeBootNet: {6BDD1FC1-810F-11D0-BEC7-08002BE2092F} - IEEE 1394 Bus host controllers
SafeBootNet: {71A27CDD-812A-11D0-BEC7-08002BE2092F} - Volume
SafeBootNet: {745A17A0-74D3-11D0-B6FE-00A0C90F57DA} - Human Interface Devices
SafeBootNet: {D48179BE-EC20-11D1-B6B8-00C04FA372A7} - SBP2 IEEE 1394 Devices
SafeBootNet: {D94EE5D8-D189-4994-83D2-F68D7D41B0E6} - SecurityDevices
 
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 12.0
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Windows Mail\WinMail.exe" OCInstallUserConfigOE
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.6
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - Address Book 7
ActiveX: {7C028AF8-F614-47B3-82DA-BA94E41B1089} - .NET Framework
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\Windows\System32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\Windows\system32\Rundll32.exe C:\Windows\system32\mscories.dll,Install
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CF211FE9-E6A3-652E-5802-BC09B1249B58} - Internet Explorer
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - %SystemRoot%\system32\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\Windows\System32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - "C:\Windows\System32\rundll32.exe" "C:\Windows\System32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
 
Drivers32: msacm.l3acm - C:\Windows\System32\l3codeca.acm (Fraunhofer Institut Integrierte Schaltungen IIS)
Drivers32: vidc.cvid - C:\Windows\System32\iccvid.dll (Radius Inc.)
Drivers32: vidc.DIVX - C:\Windows\System32\DivX.dll (DivX, Inc.)
Drivers32: vidc.yv12 - C:\Windows\System32\DivX.dll (DivX, Inc.)
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2012.12.17 20:43:46 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\Hendrik\Desktop\OTL.exe
[2012.12.16 14:45:19 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\KeePass
[2012.12.14 20:09:33 | 000,000,000 | ---D | C] -- C:\Program Files\VisiPics
[2012.12.14 19:36:45 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\Documents\IC3
[2012.12.14 19:36:38 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\Obsidium
[2012.12.08 10:32:43 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\becker
[2012.12.08 10:32:36 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Becker
[2012.12.08 10:32:36 | 000,000,000 | ---D | C] -- C:\Program Files\Becker
[2012.12.05 19:41:21 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\Documents\WinMerge
[2012.12.04 18:54:04 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\WinRAR
[2012.12.02 15:28:23 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Local\Eclipse
[2012.12.02 15:17:03 | 000,000,000 | ---D | C] -- C:\Program Files\eclipse
[2012.12.02 15:01:35 | 000,000,000 | ---D | C] -- C:\ProgramData\Sun
[2012.12.02 15:01:35 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java
[2012.12.02 14:55:26 | 000,000,000 | ---D | C] -- C:\Program Files\Java
[2012.12.02 00:20:47 | 000,000,000 | ---D | C] -- C:\ProgramData\fotobuch.de AG
[2012.12.02 00:20:47 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\Documents\Designer Files
[2012.12.02 00:20:00 | 000,000,000 | ---D | C] -- C:\Users\Hendrik\AppData\Roaming\fotobuch.de AG
[2012.12.02 00:19:30 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\fotobuch.de
[2012.12.02 00:18:37 | 000,000,000 | ---D | C] -- C:\Program Files\fotobuch.de
[2012.12.02 00:18:37 | 000,000,000 | ---D | C] -- C:\Windows\System32\artworks
[2012.12.01 20:56:30 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Firefox
[2012.11.20 13:56:03 | 000,000,000 | ---D | C] -- C:\Program Files\Recuva
 
========== Files - Modified Within 30 Days ==========
 
[2012.12.17 21:00:42 | 000,007,912 | ---- | M] () -- C:\Windows\wincmd.ini
[2012.12.17 20:43:48 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\Hendrik\Desktop\OTL.exe
[2012.12.17 19:05:56 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2012.12.17 09:39:24 | 000,021,440 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2012.12.17 09:39:24 | 000,021,440 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2012.12.17 09:36:29 | 000,609,092 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2012.12.17 09:36:29 | 000,104,370 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2012.12.17 09:32:20 | 255,709,579 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2012.12.17 09:32:19 | 2406,862,848 | -HS- | M] () -- C:\hiberfil.sys
[2012.12.16 14:32:01 | 000,000,600 | ---- | M] () -- C:\Users\Hendrik\AppData\Local\PUTTY.RND
[2012.12.15 13:51:15 | 000,050,176 | ---- | M] () -- C:\Users\Hendrik\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.12.14 19:47:51 | 000,000,131 | ---- | M] () -- C:\Windows\EurekaLog.ini
[2012.12.08 10:32:39 | 000,001,116 | ---- | M] () -- C:\Users\Hendrik\Desktop\Content Manager 2.lnk
[2012.12.07 22:07:53 | 000,000,848 | -HS- | M] () -- C:\Windows\System32\KGyGaAvL.sys
[2012.12.02 15:18:45 | 000,318,000 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2012.12.02 00:19:30 | 000,002,025 | ---- | M] () -- C:\Users\Hendrik\Desktop\Designer 2.0.lnk
 
========== Files Created - No Company Name ==========
 
[2012.12.16 14:31:52 | 000,000,600 | ---- | C] () -- C:\Users\Hendrik\AppData\Local\PUTTY.RND
[2012.12.14 19:40:34 | 000,000,131 | ---- | C] () -- C:\Windows\EurekaLog.ini
[2012.12.08 10:32:39 | 000,001,116 | ---- | C] () -- C:\Users\Hendrik\Desktop\Content Manager 2.lnk
[2012.12.02 18:01:23 | 000,001,159 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader.lnk
[2012.12.02 18:01:23 | 000,001,119 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader Deinstallationsprogramm.lnk
[2012.12.02 18:01:23 | 000,001,104 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JDownloader Update.lnk
[2012.12.02 15:18:35 | 255,709,579 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2012.12.02 00:19:30 | 000,002,025 | ---- | C] () -- C:\Users\Hendrik\Desktop\Designer 2.0.lnk
[2012.09.22 17:57:14 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2012.08.02 14:23:53 | 000,050,176 | ---- | C] () -- C:\Users\Hendrik\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2012.07.17 23:18:32 | 000,000,848 | -HS- | C] () -- C:\Windows\System32\KGyGaAvL.sys
[2011.04.28 21:41:02 | 000,000,120 | ---- | C] () -- C:\Windows\wcx_ftp.ini
[2011.04.27 22:52:50 | 000,116,224 | ---- | C] () -- C:\Windows\System32\pdfcmnnt.dll
[2011.04.22 12:09:34 | 000,000,056 | -H-- | C] () -- C:\Windows\System32\ezsidmv.dat
[2011.04.21 21:05:11 | 000,000,000 | ---- | C] () -- C:\Windows\nsreg.dat
[2011.04.21 19:41:12 | 000,000,000 | ---- | C] () -- C:\Windows\ativpsrm.bin
[2011.04.05 21:09:48 | 000,059,904 | ---- | C] () -- C:\Windows\System32\OVDecode.dll
[2011.03.01 18:07:08 | 000,003,949 | ---- | C] () -- C:\Windows\System32\atipblag.dat
[2011.02.28 22:30:06 | 000,233,012 | ---- | C] () -- C:\Windows\System32\atiicdxx.dat
 
========== ZeroAccess Check ==========
 
[2009.07.14 05:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 05:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 13:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 02:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.12.08 10:32:43 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\becker
[2011.05.23 22:15:49 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Braid
[2011.04.27 22:51:05 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\DAEMON Tools Lite
[2012.12.17 20:59:18 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Dropbox
[2012.12.02 00:20:47 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\fotobuch.de AG
[2011.04.22 12:03:39 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\JAM Software
[2012.12.16 14:45:19 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\KeePass
[2012.12.14 19:36:38 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Obsidium
[2011.04.21 21:28:32 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Thunderbird
[2011.04.22 12:26:23 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\TrueCrypt
[2012.12.02 14:41:21 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\uTorrent
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %SYSTEMDRIVE%\*. >
[2011.04.21 19:47:05 | 000,000,000 | -HSD | M] -- C:\$Recycle.Bin
[2011.04.28 20:48:06 | 000,000,000 | ---D | M] -- C:\ATI
[2009.07.14 05:53:55 | 000,000,000 | -HSD | M] -- C:\Documents and Settings
[2012.08.01 17:34:51 | 000,000,000 | RH-D | M] -- C:\MSOCache
[2009.07.14 03:37:05 | 000,000,000 | ---D | M] -- C:\PerfLogs
[2012.12.14 21:56:12 | 000,000,000 | R--D | M] -- C:\Program Files
[2012.12.14 21:56:12 | 000,000,000 | -H-D | M] -- C:\ProgramData
[2011.04.21 19:47:00 | 000,000,000 | -HSD | M] -- C:\Recovery
[2012.12.17 21:05:50 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2011.04.21 19:47:03 | 000,000,000 | R--D | M] -- C:\Users
[2012.12.17 09:32:20 | 000,000,000 | ---D | M] -- C:\Windows
 
< %ALLUSERSPROFILE%\Application Data\*. >
 
< %ALLUSERSPROFILE%\Application Data\*.exe /s >
 
< %APPDATA%\*. >
[2012.07.20 17:11:38 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Adobe
[2012.12.08 10:32:43 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\becker
[2011.05.23 22:15:49 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Braid
[2011.10.09 23:14:15 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Corel
[2011.04.27 22:51:05 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\DAEMON Tools Lite
[2012.08.22 20:35:56 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\DivX
[2012.12.17 20:59:18 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Dropbox
[2012.12.02 00:20:47 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\fotobuch.de AG
[2011.04.21 19:47:06 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Identities
[2011.04.21 20:20:40 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\InstallShield
[2011.04.22 12:03:39 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\JAM Software
[2012.12.16 14:45:19 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\KeePass
[2011.05.22 17:21:05 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Macromedia
[2009.07.14 08:49:10 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Media Center Programs
[2012.08.17 19:22:04 | 000,000,000 | --SD | M] -- C:\Users\Hendrik\AppData\Roaming\Microsoft
[2011.04.21 21:05:21 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Mozilla
[2012.12.14 19:36:38 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Obsidium
[2012.12.15 15:03:02 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Skype
[2011.04.22 12:09:29 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\skypePM
[2011.04.21 21:28:32 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\Thunderbird
[2011.04.22 12:26:23 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\TrueCrypt
[2012.12.02 14:41:21 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\uTorrent
[2012.12.17 20:58:37 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\vlc
[2012.12.04 18:54:04 | 000,000,000 | ---D | M] -- C:\Users\Hendrik\AppData\Roaming\WinRAR
 
< %APPDATA%\*.exe /s >
[2012.05.24 19:39:22 | 027,112,840 | ---- | M] (Dropbox, Inc.) -- C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\Dropbox.exe
[2012.05.24 19:39:24 | 000,872,144 | ---- | M] (Dropbox, Inc.) -- C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\DropboxUpdateHelper.exe
[2012.05.24 19:39:56 | 000,177,280 | ---- | M] (Dropbox, Inc.) -- C:\Users\Hendrik\AppData\Roaming\Dropbox\bin\Uninstall.exe
[2011.04.27 21:21:44 | 000,010,240 | R--- | M] () -- C:\Users\Hendrik\AppData\Roaming\Microsoft\Installer\{916800EA-DDA2-4C5E-96F2-811F3F7C4258}\Icon916800EA.exe
 
< %SYSTEMROOT%\system32\drivers\*.sys /lockedfiles >
 
< %SYSTEMROOT%\System32\config\*.sav >
 
< %SYSTEMROOT%\*. /mp /s >
 
< %SYSTEMROOT%\system32\*.dll /lockedfiles >
 
<           >
[2009.07.14 05:53:46 | 000,015,244 | ---- | C] () -- C:\Windows\Tasks\SCHEDLGU.TXT
[2009.07.14 05:53:47 | 000,000,006 | -H-- | C] () -- C:\Windows\Tasks\SA.DAT

< End of report >

--- --- ---

[/code]

cosinus · 17.12.2012, 23:34

Code:

ATTFilter

 Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.254

Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner?

bliss · 18.12.2012, 01:51

Nee, ist mein Home-PC. Warum?

cosinus · 18.12.2012, 03:19

Warum? Die Frage warum danach frage steht eigentlich schon in dem Kasten in meinem Posting zuvor, ein Auszug aus deinem Logfile

Code:

ATTFilter

Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.254

1.) Warum ein Windows-Professional? Ist nicht gerade sinnvoll/üblich für reine Heimanwendung

2.) Den DHCP-Server und in vielen Fällen damit auch der Router stellt sich eigentlich kein Heimanwender auf 192.168.2.254

Also warum das Ganze?

bliss · 18.12.2012, 09:58

1) Als ich noch Student war, hatte meine Uni so eine MSDN-AA-Lizenz. Da haben wir halt jede Version von Windows runtergeladen, die wir legal und gratis kriegen konnten.

2) Davon weiß ich gar nix, ist das eine Einstellung meines Computers? Das Internet teilt mein Nachbar mit mir, weil ich selbst keinen Telefonanschluss habe hier (lange Geschichte...)

cosinus · 18.12.2012, 22:00

Ok, danke für die Erläuterungen

Bitte nun Logs mit GMER (<<< klick für Anleitung) und aswMBR (Anleitung etwas weiter unten) erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim zweiten Mal nicht will, lass es einfach weg und führ nur aswMBR aus.

aswMBR-Download => aswMBR.exe - speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe Vista und Win7 User mit Rechtsklick "als Admininstartor starten"
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen) Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort. Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte es erneut nicht klappen teile mir das bitte mit.

Noch ein Hinweis: Sollte aswMBR abstürzen und es kommt eine Meldung wie "aswMBR.exe funktioniert nicht mehr, dann mach Folgendes:
Starte aswMBR neu, wähle unten links im Drop-Down-Menü (unten links im Fenster von aswMBR) bei "AV scan" (none) aus und klick nochmal auf den Scan-Button.

bliss · 21.12.2012, 10:36

GMER Scan:

[CODE]
GMER Logfile:

Code:

ATTFilter

GMER 1.0.15.15641 - hxxp://www.gmer.net
Rootkit scan 2012-12-21 10:33:08
Windows 6.1.7601 Service Pack 1 Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0 XLR8_PL120AB rev.346A13F0
Running: hki4wsli.exe; Driver: C:\Users\Hendrik\AppData\Local\Temp\pxldapod.sys


---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwRollbackEnlistment + 140D  82A4DA49 1 Byte  [06]
.text           ntkrnlpa.exe!KiDispatchInterrupt + 5A2    82A874D2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           C:\Windows\system32\DRIVERS\atikmdag.sys  section is writeable [0x93C13000, 0x391095, 0xE8000020]

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000049         halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume5    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume7    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume9    fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \FileSystem\fastfat \Fat                  fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----

--- --- ---

aswMBR Scan:

Code:

ATTFilter

aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2012-12-21 11:05:57
-----------------------------
11:05:57.402    OS Version: Windows 6.1.7601 Service Pack 1
11:05:57.402    Number of processors: 4 586 0x2A07
11:05:57.402    ComputerName: LOKI  UserName: 
11:06:00.803    Initialize success
11:13:45.120    Disk 0  \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP4T0L0-4
11:13:45.120    Disk 0 Vendor: SAMSUNG_HD401LJ ZZ100-15 Size: 381553MB BusType: 11
11:13:45.120    Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP0T0L0-0
11:13:45.120    Disk 1 Vendor: XLR8_PL120AB 346A13F0 Size: 114473MB BusType: 11
11:13:45.120    Disk 1 MBR read successfully
11:13:45.136    Disk 1 MBR scan
11:13:45.136    Disk 1 Windows 7 default MBR code
11:13:45.136    Disk 1 Partition 1 80 (A) 07    HPFS/NTFS NTFS          100 MB offset 2048
11:13:45.136    Disk 1 Partition 2 00     07    HPFS/NTFS NTFS       114371 MB offset 206848
11:13:45.136    Disk 1 scanning sectors +234438656
11:13:45.136    Disk 1 scanning C:\Windows\system32\drivers
11:13:45.916    Service scanning
11:13:46.602    Service MpKslfcd0f4aa c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{4FE11EB8-2468-4C9E-89A1-D70B796A6DA2}\MpKslfcd0f4aa.sys **LOCKED** 32
11:13:47.835    Modules scanning
11:13:49.847    Disk 1 trace - called modules:
11:13:49.847    ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys halmacpi.dll ataport.SYS PCIIDEX.SYS msahci.sys 
11:13:49.847    1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0x85a335d0]
11:13:49.863    3 CLASSPNP.SYS[8b19759e] -> nt!IofCallDriver -> [0x858dbc10]
11:13:49.863    5 ACPI.sys[8369c3d4] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-0[0x8553e908]
11:13:49.863    Scan finished successfully
11:14:19.440    Disk 1 MBR has been saved successfully to "C:\Users\Hendrik\Desktop\MBR.dat"
11:14:19.440    The log file has been saved successfully to "C:\Users\Hendrik\Desktop\aswMBR.txt"

cosinus · 22.12.2012, 19:44

Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop.

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!

Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Solltest du nach der Ausführung von Combofix Probleme beim Starten von Anwendungen haben und Meldungen erhalten wie

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

startest du Windows dann manuell neu und die Fehlermeldungen sollten nicht mehr auftauchen.

bliss · 23.12.2012, 22:31

Alles klar, ich melde mich dann im neuen Jahr mit dem Ergebnis. Bin jetzt bei der Familie. Schöne Weihnachten!

17.12.2012, 19:19	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Kein Zugriff mehr auf Partitionen Hallo und Hast du noch weitere Logs (mit Funden)? Malwarebytes und/oder andere Virenscanner? Ich frage deswegen nach => http://www.trojaner-board.de/125889-...tml#post941520 Bitte keine neuen Virenscans machen sondern erst nur schon vorhandene Logs posten! __________________ __________________

17.12.2012, 23:34	#8
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Kein Zugriff mehr auf Partitionen Code: ATTFilter Professional Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.254 Ist das rein zufällig ein Büro-/Firmen-PC? Oder ein Uni-Rechner? __________________ Logfiles bitte immer in CODE-Tags posten

Kein Zugriff mehr auf Partitionen

Plagegeister aller Art und deren Bekämpfung: Kein Zugriff mehr auf Partitionen