Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: GVU Trojaner mit angeblicher Webcam Überwachung

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 31.01.2013, 12:15   #1
RFM
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Sehr geehrtes Trojaner Board Team

Ich habe mir gestern auf der Arbeit (30.01.2013 ungefähr 9:15 Uhr) den GVU Trojaner eingefangen. Das Viren Programm Antivir hat es zwar noch gemeldet das dass Notebook von einen Trojanischen Pferd angegriffen wird aber leider hatte ich keine Chance es in Quarantäne zu veschieben oder zu löschen da alles so schnell ging. Habe aber direkt nach dem Angriff die Internetleitung gekappt so das keine Verbindung mehr bestand. Das Notebook lässt sich jetzt nicht mehr richtig Starten. Es kommt: "Ihr Computer ist gesperrt" und ich soll per paysafe card 100€ zahlen. Zudem wird alles angeblich mit der Webcam aufgezeichnet (Das lustige ist, das Notebook besitzt gar keine Webcam ) Habe schon versucht mit anderen Benutzerkonten zu starten doch auch dort kommt die Meldung "Ihr Computer ist gesperrt". Im abgesicherten Modus das selbe Spiel.
Versuch 1:
Ich habe eine bootbare CD mit Avira AntiVir Rescue System erstellt und das ganze durchlaufen lassen. Das Programm hat auch mehrere Sachen gefunden wo ich anschließend eine Log Datei erstellt habe. Leider konnte ich die Log Datei nur auf dem befallenen Computer speichern. In meinen Augen vollkommender schwachsinn, da ich ja nicht an die Datei komme. Naja habe das dann ein 2. mal durchlaufen lassen und anschließend die Infizierten Dateien löschen lassen. Leider ohne Erfolg beim hochfahren erscheint immer noch "Ihr Computer ist gesperrt".
Versuch 2:
Habe dann von Kaspersky die Kaspersky Rescue Disk erstellt und versucht mit dem Windows Unlocker das ganze zu beheben. Ich habe anschließend den Viren Scan mit der Kaspersky Rescue Disk gemacht, leider auch alles ohne Erfolg. Habe bei dem Scan von Kaspersky keine LOG Datei erstellt da man ja eh nicht darauf zugreifen kann.
Vielleicht könnt ihr mir ja jetzt noch helfen da ich mit meinem Latein am Ende bin.
Habe im anderen Thema hier auf Trojaner Board gelesen das man eine OTLPE CD von Oldtimer erstellen und von dieser booten soll. Ich warte aber erst auf grünes Licht eurer Seite da ich nicht weis was das für Auswirkungen auf mein System hat.
Das Notebook ist sehr wichtig für mich da dort viele wichtige Daten abgespeichert wurden und ich es deshalb vermeiden möchte alles zu Formatieren.

Die Daten des Notebooks : DELL Latitude D530
Intel Core 2 Duo
2 GB Ram
CD/DVD Brenner
Windows XP Professionell

Mit freundlichen Grüßen und vielen Dank schon mal im Vorraus

Alt 31.01.2013, 13:30   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Hallo und

Bevor wir uns an die Arbeit machen, möchte ich dich bitten, folgende Punkte vollständig und aufmerksam zu lesen.
  • Lies dir meine Anleitungen, die ich im Laufe dieses Strangs hier posten werde, aufmerksam durch. Frag umgehend nach, wenn dir irgendetwas unklar sein sollte, bevor du anfängst meine Anleitungen umzusetzen.

  • Solltest du bei einem Schritt Probleme haben, stoppe dort und beschreib mir das Problem so gut du kannst. Manchmal erfordert ein Schritt den vorhergehenden.

  • Bitte nur Scans durchführen zu denen du von einem Helfer aufgefordert wurdest! Installiere / Deinstalliere keine Software ohne Aufforderung!

  • Poste die Logfiles direkt in deinen Thread (bitte in CODE-Tags) und nicht als Anhang, ausser du wurdest dazu aufgefordert. Logs in Anhängen erschweren mir das Auswerten!

  • Beachte bitte auch => Löschen von Logfiles und andere Anfragen

Note:
Sollte ich drei Tage nichts von mir hören lassen, so melde dich bitte in diesem Strang => Erinnerung an meinem Thread.
Nervige "Wann geht es weiter" Nachrichten enden mit Schließung deines Themas. Auch ich habe ein Leben abseits des Trojaner-Boards.


Mit einem sauberen 2. Rechner eine OTLPE-CD erstellen und den infizierten Rechner dann von dieser CD booten:

Falls Du kein Brennprogramm installiert hast, lade dir bitte ISOBurner herunter. Das Programm wird Dir erlauben, OTLPE auf eine CD zu brennen und sie bootfähig zu machen. Du brauchst das Tool nur zu installieren, der Rest läuft automatisch => Wie brenne ich eine ISO Datei auf CD/DVD.
  • Lade OTLPENet.exe von OldTimer herunter und speichere sie auf Deinem Desktop. Anmerkung: Die Datei ist ca. 120 MB groß und es wird bei langsamer Internet-Verbindung ein wenig dauern, bis Du sie runtergeladen hast.
  • Wenn der Download fertig ist, mache einen Doppelklick auf die Datei und beantworte die Frage "Do you want to burn the CD?" mit Yes.
  • Lege eine leere CD in Deinen Brenner.
  • ImgBurn (oder Dein Brennprogramm) wird das Archiv extrahieren und OTLPE Network auf die CD brennen.
  • Wenn der Brenn-Vorgang abgeschlossen ist, wirst Du eine Dialogbox sehen => "Operation successfully completed".
  • Du kannst nun die Fenster des Brennprogramms schließen.
Nun boote von der OTLPE CD. Hinweis: Wie boote ich von CD
  • Dein System sollte nach einigen Minuten den REATOGO-X-PE Desktop anzeigen.
  • Mache einen Doppelklick auf das OTLPE Icon.
  • Hinweis: Damit OTLPE auch das richtige installierte Windows scant, musst du den Windows-Ordner des auf der Platte installierten Windows auswählen, einfach nur C: auswählen gibt einen Fehler!
  • Wenn Du gefragt wirst "Do you wish to load the remote registry", dann wähle Yes.
  • Wenn Du gefragt wirst "Do you wish to load remote user profile(s) for scanning", dann wähle Yes.
  • Vergewissere Dich, dass die Box "Automatically Load All Remaining Users" gewählt ist und drücke OK.
  • OTLpe sollte nun starten.
  • Drücke Run Scan, um den Scan zu starten.
  • Wenn der Scan fertig ist, werden die Dateien C:\OTL.Txt und C:\Extras.Txt erstellt
  • Kopiere diese Datei auf Deinen USB-Stick, wenn Du keine Internetverbindung auf diesem System hast.
  • Bitte poste den Inhalt von C:\OTL.Txt und Extras.Txt.
__________________

__________________

Alt 31.01.2013, 17:53   #3
RFM
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Also habe jetzt den Scan gemacht und folgende dateien bekommen.

OTL Datei

Code:
ATTFilter
OTL logfile created on: 1/31/2013 5:49:35 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 85.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111.69 Gb Total Space | 39.83 Gb Free Space | 35.66% Space Free | Partition Type: NTFS
Drive D: | 3.75 Gb Total Space | 3.73 Gb Free Space | 99.52% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Win32 Services (SafeList) ==========
 
SRV - [2013/01/30 03:26:41 | 000,196,608 | -HS- | M] (Корпорация Майкрософт) [Auto] -- C:\Dokumente und Einstellungen\All Users\ms0071364C.dat -- (winmgmt)
SRV - [2013/01/14 10:09:29 | 000,251,400 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/07/18 11:04:33 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012/07/18 11:04:23 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2012/04/10 02:16:52 | 000,474,624 | ---- | M] (eTellicom) [Auto] -- C:\Programme\CommunicationsClients\osoausvc.exe -- (OSO Update Service)
SRV - [2011/07/19 23:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2008/02/22 06:40:20 | 000,475,136 | ---- | M] (Dell Inc.) [Auto] -- C:\Programme\Dell\QuickSet\NicConfigSvc.exe -- (NICCONFIGSVC)
SRV - [2007/11/08 16:50:10 | 001,552,384 | ---- | M] () [Auto] -- C:\Programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe -- (tcsd_win32.exe)
SRV - [2007/09/28 10:05:16 | 000,128,360 | ---- | M] (TOSHIBA CORPORATION) [Auto] -- C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe -- (TOSHIBA Bluetooth Service)
SRV - [2007/09/13 21:37:42 | 000,094,208 | ---- | M] (SigmaTel, Inc.) [Auto] -- C:\WINDOWS\system32\stacsv.exe -- (STacSV)
SRV - [2007/09/13 08:31:44 | 000,192,512 | ---- | M] (Wave Systems Corp.) [On_Demand] -- C:\Programme\Wave Systems Corp\Authentication Manager\WaveEnrollmentService.exe -- (WaveEnrollmentService)
SRV - [2007/09/07 11:29:04 | 000,737,280 | ---- | M] (Wave Systems Corp.) [Auto] -- C:\Programme\Wave Systems Corp\Trusted Drive Manager\TdmService.exe -- (TdmService)
SRV - [2007/08/31 11:39:18 | 000,486,400 | ---- | M] (Wave Systems Corp.) [On_Demand] -- C:\Programme\Wave Systems Corp\Secure Storage Manager\SecureStorageService.exe -- (SecureStorageService)
SRV - [2007/07/11 03:33:28 | 000,069,632 | R--- | M] (MicroVision Development, Inc.) [On_Demand] -- C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe -- (stllssvr)
SRV - [2007/06/20 08:30:18 | 000,079,168 | ---- | M] (Broadcom Corporation) [Auto] -- C:\Programme\Broadcom\ASFIPMon\AsfIpMon.exe -- (ASFIPmon)
SRV - [2006/10/26 08:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2005/04/03 18:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand] --  -- (RT73)
DRV - File not found [Kernel | On_Demand] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] --  -- (PDCOMP)
DRV - File not found [Kernel | System] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand] --  -- (PCASp50)
DRV - File not found [Kernel | System] --  -- (lbrtfdc)
DRV - File not found [Kernel | System] --  -- (Changer)
DRV - [2012/07/18 11:04:42 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2012/07/18 11:04:42 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012/07/18 11:04:42 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011/04/14 03:54:44 | 000,099,424 | ---- | M] (Novar GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ffUsbLd2.sys -- (ffUsbLoader2)
DRV - [2011/04/14 03:54:44 | 000,039,008 | ---- | M] (Novar GmbH) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ffUsb.sys -- (ffusb)
DRV - [2010/11/24 11:19:08 | 000,029,184 | ---- | M] (Novar GmbH, Germany) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\usbefi.sys -- (USBEFI) USB Efi Driver V2.41.1(usbefi.sys)
DRV - [2010/06/17 08:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010/02/11 07:02:15 | 000,226,880 | ---- | M] (Microsoft Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\tcpip6.sys -- (Tcpip6)
DRV - [2009/12/11 18:48:04 | 000,025,984 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tap0901.sys -- (tap0901)
DRV - [2008/07/03 07:04:42 | 000,031,232 | ---- | M] (SIEMENS AG) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\s7opcsrtx.sys -- (S7opcsrtx) PROFINET IO RT-Protocol (LLDP)
DRV - [2008/06/29 21:42:26 | 001,287,552 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\BCMWL5.SYS -- (BCM43XX)
DRV - [2008/06/15 21:35:02 | 000,985,472 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2008/06/15 21:35:00 | 000,731,264 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2008/06/15 21:35:00 | 000,210,688 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\HSFHWAZL.sys -- (HSFHWAZL)
DRV - [2008/04/14 07:00:00 | 000,088,320 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnkipx.sys -- (NwlnkIpx)
DRV - [2008/04/14 07:00:00 | 000,063,232 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnknb.sys -- (NwlnkNb)
DRV - [2008/04/14 07:00:00 | 000,055,936 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\nwlnkspx.sys -- (NwlnkSpx)
DRV - [2008/04/13 17:16:24 | 000,015,232 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\MPE.sys -- (MPE)
DRV - [2008/04/13 16:05:40 | 000,020,992 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTL8139.sys -- (rtl8139) NT-Treiber für Realtek RTL8139(A/B/C)
DRV - [2008/04/01 16:22:34 | 000,041,856 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfusb.sys -- (Tosrfusb)
DRV - [2008/04/01 16:22:32 | 000,054,144 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\TosRfSnd.sys -- (TosRfSnd)
DRV - [2008/04/01 16:22:30 | 000,018,612 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfnds.sys -- (tosrfnds)
DRV - [2008/04/01 16:22:28 | 000,074,240 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Tosrfhid.sys -- (Tosrfhid)
DRV - [2008/04/01 16:22:26 | 000,064,128 | ---- | M] (TOSHIBA Corporation) [Kernel | System] -- C:\WINDOWS\system32\drivers\tosrfcom.sys -- (Tosrfcom)
DRV - [2008/04/01 16:22:26 | 000,036,608 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfbnp.sys -- (tosrfbnp)
DRV - [2008/04/01 16:22:24 | 000,131,712 | ---- | M] (TOSHIBA CORPORATION) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosrfbd.sys -- (tosrfbd)
DRV - [2008/04/01 16:22:22 | 000,041,600 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tosporte.sys -- (tosporte)
DRV - [2008/03/07 07:46:38 | 000,101,120 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2007/12/05 05:51:04 | 000,310,144 | ---- | M] (SIEMENS AG) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\SNTIE.SYS -- (SNTIE) SIMATIC Industrial Ethernet (ISO)
DRV - [2007/09/13 21:37:42 | 001,222,840 | ---- | M] (SigmaTel, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\sthda.sys -- (STHDA)
DRV - [2007/09/10 03:55:00 | 000,161,280 | ---- | M] (Wave Systems Corp.) [File_System | Auto] -- C:\WINDOWS\system32\drivers\WavxDMgr.sys -- (WavxDMgr)
DRV - [2007/09/09 23:26:30 | 000,161,792 | ---- | M] (Broadcom Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\b57xp32.sys -- (b57w2k)
DRV - [2007/09/09 23:14:58 | 000,155,136 | ---- | M] (Alps Electric Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Apfiltr.sys -- (ApfiltrService)
DRV - [2007/09/07 03:57:14 | 000,026,608 | ---- | M] (Dell Inc) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\PBADRV.sys -- (PBADRV)
DRV - [2007/09/06 03:18:40 | 000,018,176 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\WaveFDE.sys -- (WaveFDE)
DRV - [2007/07/30 06:06:04 | 000,071,168 | ---- | M] (SIEMENS AG) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\s7snsrtx.sys -- (s7snsrtx)
DRV - [2007/07/23 09:05:18 | 000,009,104 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLADResM.SYS -- (DLADResM)
DRV - [2007/07/23 09:04:58 | 000,037,360 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLABMFSM.SYS -- (DLABMFSM)
DRV - [2007/07/23 09:04:56 | 000,098,448 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLAUDF_M.SYS -- (DLAUDF_M)
DRV - [2007/07/23 09:04:56 | 000,093,552 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLAUDFAM.SYS -- (DLAUDFAM)
DRV - [2007/07/23 09:04:54 | 000,027,216 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLAOPIOM.SYS -- (DLAOPIOM)
DRV - [2007/07/23 09:04:52 | 000,032,848 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLABOIOM.SYS -- (DLABOIOM)
DRV - [2007/07/23 09:04:52 | 000,016,304 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLAPoolM.SYS -- (DLAPoolM)
DRV - [2007/07/23 09:04:50 | 000,108,752 | ---- | M] (Roxio) [File_System | Auto] -- C:\WINDOWS\system32\drivers\DLAIFS_M.SYS -- (DLAIFS_M)
DRV - [2007/07/23 08:49:44 | 000,030,064 | ---- | M] (Roxio) [File_System | System] -- C:\WINDOWS\system32\drivers\DLARTL_M.SYS -- (DLARTL_M)
DRV - [2007/07/23 08:49:44 | 000,014,576 | ---- | M] (Roxio) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\DLACDBHM.SYS -- (DLACDBHM)
DRV - [2007/06/20 08:30:20 | 000,010,480 | ---- | M] (Broadcom Corporation) [Kernel | Auto] -- C:\Programme\Broadcom\ASFIPMon\BASFND.sys -- (BASFND)
DRV - [2007/05/02 06:28:05 | 000,283,776 | R--- | M] (AfaTech                  ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AF15BDA.sys -- (AF15BDA)
DRV - [2006/11/02 06:32:32 | 000,097,536 | ---- | M] (Knowles Acoustics) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\dxec01.sys -- (DXEC01)
DRV - [2005/08/12 10:50:46 | 000,016,128 | ---- | M] (Dell Inc) [Kernel | System] -- C:\WINDOWS\SYSTEM32\DRIVERS\APPDRV.SYS -- (APPDRV)
DRV - [2003/07/16 01:27:40 | 000,043,264 | R--- | M] (Prolific Technology Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ser2pl.sys -- (Ser2pl)
DRV - [2001/08/17 22:35:52 | 000,035,913 | ---- | M] (SMC) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\smcirda.sys -- (SMCIRDA)
DRV - [1997/10/20 20:38:02 | 000,007,552 | ---- | M] (Microsoft Corporation) [Kernel | Auto] -- C:\WINDOWS\System32\drivers\ATENLPT.SYS -- (Atenlpt)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
 
 
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator.EAN-NZ_ON_C\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
IE - HKU\Administrator.EAN-NZ_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
IE - HKU\Administrator.EAN-NZ_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
IE - HKU\Administrator_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
IE - HKU\Administrator_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\Frank_Rossow_ON_C\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie
IE - HKU\Frank_Rossow_ON_C\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
IE - HKU\Frank_Rossow_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKU\Frank_Rossow_ON_C\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKU\Frank_Rossow_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKU\Frank_Rossow_ON_C\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://www.google.com/ie
IE - HKU\Frank_Rossow_ON_C\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com/ie
IE - HKU\Frank_Rossow_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\Rossow_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
IE - HKU\Rossow_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_5_502_146.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@google.com/npPicasa3,version=3.0.0: C:\Programme\Google\Picasa3\npPicasa3.dll (Google, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=1.6.0_37: C:\WINDOWS\system32\npdeployJava1.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\plugin2\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeLive,version=1.5: C:\Programme\Microsoft\Office Live\npOLW.dll (Microsoft Corp.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@pack.google.com/Google Updater;version=14: C:\Programme\Google\Google Updater\2.4.2432.1652\npCIDetect14.dll (Google)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.123\npGoogleUpdate3.dll (Google Inc.)
 
 
 
O1 HOSTS File: ([2008/04/14 07:00:00 | 000,000,820 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Reader) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll (Sun Microsystems, Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll (Google Inc.)
O2 - BHO: (kikin Plugin) - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Programme\kikin\ie_kikin.dll (kikin)
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\Frank_Rossow_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [CommunicationsClients Auto Update Service] C:\Programme\CommunicationsClients\osoupd.exe (eTellicom)
O4 - HKLM..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe (Dell Inc.)
O4 - HKLM..\Run: [ITSecMng] C:\Programme\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe ( TOSHIBA CORPORATION)
O4 - HKLM..\Run: [KADxMain] C:\WINDOWS\system32\KADxMain.exe (Knowles Acoustics)
O4 - HKLM..\Run: [SigmatelSysTrayApp] C:\WINDOWS\stsystra.exe (SigmaTel, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKU\Administrator.EAN-NZ_ON_C..\Run: [ISUSPM] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (Macrovision Corporation)
O4 - HKU\Administrator_ON_C..\Run: [ISUSPM] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (Macrovision Corporation)
O4 - HKU\Frank_Rossow_ON_C..\Run: [ISUSPM] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (Macrovision Corporation)
O4 - HKU\Frank_Rossow_ON_C..\Run: [Ofyhyvkemi] C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Biymz\uguka.exe ()
O4 - HKU\Rossow_ON_C..\Run: [ISUSPM] C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe (Macrovision Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk = C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe (TOSHIBA CORPORATION.)
O4 - Startup: C:\Dokumente und Einstellungen\Frank Rossow\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\Rossow\Startmenü\Programme\Autostart\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoCDBurning = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 25761 = C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msueyyb.scr ()
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator.EAN-NZ_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Frank_Rossow_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Frank_Rossow_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Classes = C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\7364A1\7364A1.exe ()
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\Rossow_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O8 - Extra context menu item: Add to Google Photos Screensa&ver - C:\WINDOWS\System32\GPhotos.scr (Google Inc.)
O9 - Extra 'Tools' menuitem : My kikin - {0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - C:\Programme\kikin\ie_kikin.dll (kikin)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1348470386798 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ean-nz.local.de
O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - Winlogon\Notify\gemsafe: DllName - C:\Programme\Gemplus\GemSafe Libraries\BIN\WLEventNotify.dll - C:\Programme\Gemplus\GemSafe Libraries\BIN\WLEventNotify.dll (Gemplus)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O30 - LSA: Authentication Packages - (wvauth) - C:\WINDOWS\System32\wvauth.dll (Wave Systems Corp.)
O30 - LSA: Authentication Packages - (nwprovau) - C:\WINDOWS\System32\nwprovau.dll (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2008/04/25 10:00:23 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]
O34 - HKLM BootExecute: (autocheck autochk *) -  File not found
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013/01/30 07:43:49 | 000,000,000 | ---D | C] -- C:\Kaspersky Rescue Disk 10.0
[2013/01/30 04:00:50 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Rossow\Anwendungsdaten\Avira
[2013/01/30 03:55:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Rossow\Lokale Einstellungen\Anwendungsdaten\Google
[2013/01/30 03:55:49 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Rossow\Anwendungsdaten\Google
[2013/01/30 03:55:47 | 000,000,000 | -HSD | C] -- C:\Dokumente und Einstellungen\Rossow\PrivacIE
[2013/01/30 03:55:43 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Rossow\Anwendungsdaten\kikin
[2013/01/30 03:55:34 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Rossow\CC-Logs
[2013/01/30 03:26:37 | 000,196,608 | -HS- | C] (Корпорация Майкрософт) -- C:\Dokumente und Einstellungen\All Users\ms0071364C.dat
[2013/01/30 03:26:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Ytpoky
[2013/01/30 03:26:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Neved
[2013/01/30 03:26:32 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Biymz
[2013/01/30 03:26:14 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Local Settings
[2013/01/30 01:28:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Frank Rossow\Desktop\Dust to Glory GERMAN DOKU WS HDTVRip XviD TVP
[2013/01/24 21:18:32 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Frank Rossow\Startmenü\Programme\Verwaltung
[2013/01/15 05:03:12 | 000,000,000 | -HSD | C] -- C:\Config.Msi
[2013/01/08 01:48:04 | 000,000,000 | ---D | C] -- C:\WINDOWS\Setup
[2013/01/08 01:46:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Siemens
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013/01/31 06:11:48 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013/01/31 06:08:15 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013/01/31 06:04:53 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013/01/31 06:01:02 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\C4631700sm.pad
[2013/01/31 06:00:27 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013/01/31 06:00:11 | 2137,374,720 | -HS- | M] () -- C:\hiberfil.sys
[2013/01/31 05:32:22 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013/01/30 03:55:40 | 000,000,791 | ---- | M] () -- C:\Dokumente und Einstellungen\Rossow\Startmenü\Programme\Autostart\runctf.lnk
[2013/01/30 03:30:41 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\C.pad
[2013/01/30 03:26:54 | 000,002,938 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\C4631700sm.js
[2013/01/30 03:26:54 | 000,000,791 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank Rossow\Startmenü\Programme\Autostart\runctf.lnk
[2013/01/30 03:26:41 | 000,196,608 | -HS- | M] (Корпорация Майкрософт) -- C:\Dokumente und Einstellungen\All Users\ms0071364C.dat
[2013/01/30 01:32:12 | 000,064,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Frank Rossow\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2013/01/24 08:13:00 | 000,000,966 | ---- | M] () -- C:\WINDOWS\tasks\Google Software Updater.job
[2013/01/24 05:15:06 | 000,000,097 | ---- | M] () -- C:\WINDOWS\WirelessFTP.INI
[2013/01/15 05:13:32 | 000,002,912 | ---- | M] () -- C:\WINDOWS\citamis.str
[2013/01/15 01:07:57 | 000,361,728 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013/01/14 11:03:47 | 001,195,158 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013/01/14 11:03:47 | 001,008,180 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013/01/14 11:03:47 | 000,346,264 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013/01/14 11:03:46 | 000,424,860 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013/01/14 10:38:50 | 000,001,374 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013/01/14 10:09:27 | 000,697,864 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerApp.exe
[2013/01/14 10:09:26 | 000,074,248 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\FlashPlayerCPLApp.cpl
[2013/01/14 08:45:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autodesk
[2013/01/06 00:33:34 | 006,009,856 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mshtml.dll
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013/01/30 06:28:40 | 2137,374,720 | -HS- | C] () -- C:\hiberfil.sys
[2013/01/30 03:55:39 | 000,000,791 | ---- | C] () -- C:\Dokumente und Einstellungen\Rossow\Startmenü\Programme\Autostart\runctf.lnk
[2013/01/30 03:28:09 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\C.pad
[2013/01/30 03:26:54 | 000,002,938 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\C4631700sm.js
[2013/01/30 03:26:54 | 000,000,791 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank Rossow\Startmenü\Programme\Autostart\runctf.lnk
[2013/01/30 03:26:44 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\C4631700sm.pad
[2013/01/08 01:47:58 | 000,002,912 | ---- | C] () -- C:\WINDOWS\citamis.str
[2012/09/10 03:40:22 | 000,000,832 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank Rossow\myPortal.layout
[2012/09/10 03:37:58 | 000,001,060 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank Rossow\myPortal.ini
[2012/09/10 03:36:58 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\redmonnt.dll
[2012/04/18 08:28:07 | 000,000,042 | ---- | C] () -- C:\WINDOWS\ceag_cgp.ini
[2012/03/06 09:09:07 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Rossow\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2012/03/06 09:09:07 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Rossow\Lokale Einstellungen\Anwendungsdaten\WavXMapDrive.bat
[2012/03/06 09:04:39 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.EAN-NZ\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2012/03/06 09:04:38 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator.EAN-NZ\Lokale Einstellungen\Anwendungsdaten\WavXMapDrive.bat
[2012/02/19 11:39:31 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\iacenc.dll
[2011/12/01 02:55:13 | 000,005,123 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank Rossow\Ereignisspeicher FlexES Control Wohnheim Strelitz-Alt vom 01.12.11.EVT
[2011/09/02 16:31:54 | 000,001,518 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank Rossow\Lokale Einstellungen\Anwendungsdaten\RecConfig.xml
[2010/12/13 05:56:41 | 000,000,063 | ---- | C] () -- C:\WINDOWS\System32\ffUsbDLL.ini
[2010/12/09 09:36:29 | 000,000,025 | ---- | C] () -- C:\WINDOWS\lrlizenz.ini
[2010/12/09 07:52:14 | 000,000,211 | ---- | C] () -- C:\WINDOWS\LRDB.ini
[2010/12/09 05:57:22 | 000,000,066 | ---- | C] () -- C:\WINDOWS\LRKonfig.ini
[2010/08/11 12:12:40 | 000,000,008 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\NMM-MetaData.db
[2010/01/04 03:06:53 | 000,000,158 | ---- | C] () -- C:\WINDOWS\ricdb.ini
[2009/10/20 00:54:10 | 000,000,000 | ---- | C] () -- C:\WINDOWS\Digsi4.INI
[2009/10/14 05:04:47 | 000,064,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank Rossow\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2009/06/18 22:22:45 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll
[2009/03/02 08:29:12 | 000,061,040 | ---- | C] () -- C:\WINDOWS\iun1402.exe
[2009/02/13 17:06:50 | 000,139,152 | ---- | C] () -- C:\WINDOWS\System32\drivers\PnkBstrK.sys
[2009/02/07 17:11:20 | 000,111,928 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrB.exe
[2009/02/07 17:10:53 | 000,066,872 | ---- | C] () -- C:\WINDOWS\System32\PnkBstrA.exe
[2009/01/25 15:26:16 | 001,843,784 | ---- | C] () -- C:\WINDOWS\System32\igklg400.dll
[2009/01/25 15:26:16 | 001,399,880 | ---- | C] () -- C:\WINDOWS\System32\igklg450.dll
[2009/01/25 15:26:16 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4926.dll
[2009/01/07 13:06:06 | 000,000,869 | ---- | C] () -- C:\WINDOWS\eReg.dat
[2009/01/05 02:50:03 | 000,000,097 | ---- | C] () -- C:\WINDOWS\WirelessFTP.INI
[2008/11/07 06:08:17 | 000,000,001 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank Rossow\BMZ.CON
[2008/11/07 05:55:00 | 000,000,156 | ---- | C] () -- C:\WINDOWS\wfm100.ini
[2008/11/07 05:51:19 | 000,000,215 | ---- | C] () -- C:\WINDOWS\bedienteil.ini
[2008/11/07 05:42:44 | 000,000,000 | ---- | C] () -- C:\WINDOWS\PROTOCOL.INI
[2008/11/03 07:51:16 | 000,000,456 | ---- | C] () -- C:\WINDOWS\ODBC.INI
[2008/11/03 07:51:08 | 000,618,496 | ---- | C] () -- C:\WINDOWS\System32\stlpmt45.dll
[2008/11/03 06:49:19 | 000,000,145 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank Rossow\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/11/03 06:49:19 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Frank Rossow\Lokale Einstellungen\Anwendungsdaten\WavXMapDrive.bat
[2008/10/15 00:56:51 | 001,174,000 | ---- | C] () -- C:\WINDOWS\System32\igmedkrn.dll
[2008/10/15 00:56:51 | 000,147,456 | ---- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4859.dll
[2008/10/15 00:56:51 | 000,104,636 | ---- | C] () -- C:\WINDOWS\System32\igmedcompkrn.dll
[2008/10/15 00:56:48 | 000,077,824 | ---- | C] () -- C:\WINDOWS\setpwr32.exe
[2008/10/15 00:55:50 | 000,001,503 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI
[2008/10/14 16:28:32 | 000,000,000 | ---- | C] () -- C:\WINDOWS\tosOBEX.INI
[2008/10/14 16:28:24 | 000,000,061 | ---- | C] () -- C:\WINDOWS\smscfg.ini
[2008/10/14 16:27:49 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\WavXMapDrive.bat
[2008/10/14 16:26:06 | 000,000,261 | ---- | C] () -- C:\WINDOWS\wininit.ini
[2008/10/14 16:18:15 | 000,080,368 | ---- | C] () -- C:\WINDOWS\System32\pbadrvdll.dll
[2008/10/14 16:15:54 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\bioapi_mds300.dll
[2008/10/14 16:15:54 | 000,106,496 | ---- | C] () -- C:\WINDOWS\System32\bioapi100.dll
[2008/10/14 16:14:21 | 000,143,360 | ---- | C] () -- C:\WINDOWS\System32\preflib.dll
[2008/10/14 16:14:19 | 000,024,064 | ---- | C] () -- C:\WINDOWS\System32\WLTRYSVC.EXE
[2008/10/14 16:14:18 | 000,753,664 | ---- | C] () -- C:\WINDOWS\System32\bcm1xsup.dll
[2008/04/25 10:06:53 | 000,000,146 | ---- | C] () -- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
[2008/04/25 10:02:41 | 000,002,048 | --S- | C] () -- C:\WINDOWS\bootstat.dat
[2008/04/25 09:57:56 | 000,021,740 | ---- | C] () -- C:\WINDOWS\System32\emptyregdb.dat
[2008/04/25 09:57:02 | 000,003,776 | ---- | C] () -- C:\WINDOWS\System32\fxsperf.ini
[2008/04/25 04:46:09 | 001,195,158 | ---- | C] () -- C:\WINDOWS\System32\perfh007.dat
[2008/04/25 04:46:09 | 000,424,860 | ---- | C] () -- C:\WINDOWS\System32\perfc007.dat
[2008/04/25 04:46:09 | 000,269,480 | ---- | C] () -- C:\WINDOWS\System32\perfi007.dat
[2008/04/25 04:46:09 | 000,034,478 | ---- | C] () -- C:\WINDOWS\System32\perfd007.dat
[2008/04/25 04:45:57 | 000,004,569 | ---- | C] () -- C:\WINDOWS\System32\secupd.dat
[2008/04/25 04:45:56 | 001,008,180 | ---- | C] () -- C:\WINDOWS\System32\perfh009.dat
[2008/04/25 04:45:56 | 000,346,264 | ---- | C] () -- C:\WINDOWS\System32\perfc009.dat
[2008/04/25 04:45:56 | 000,272,128 | ---- | C] () -- C:\WINDOWS\System32\perfi009.dat
[2008/04/25 04:45:56 | 000,028,626 | ---- | C] () -- C:\WINDOWS\System32\perfd009.dat
[2008/04/25 04:45:55 | 013,107,200 | ---- | C] () -- C:\WINDOWS\System32\oembios.bin
[2008/04/25 04:45:55 | 000,004,627 | ---- | C] () -- C:\WINDOWS\System32\oembios.dat
[2008/04/25 04:45:53 | 000,000,741 | ---- | C] () -- C:\WINDOWS\System32\noise.dat
[2008/04/25 04:45:50 | 000,673,088 | ---- | C] () -- C:\WINDOWS\System32\mlang.dat
[2008/04/25 04:45:50 | 000,046,258 | ---- | C] () -- C:\WINDOWS\System32\mib.bin
[2008/04/25 04:45:46 | 000,218,003 | ---- | C] () -- C:\WINDOWS\System32\dssec.dat
[2008/04/25 04:45:43 | 000,001,804 | ---- | C] () -- C:\WINDOWS\System32\Dcache.bin
[2008/04/24 20:52:36 | 000,004,161 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI
[2008/04/24 20:51:36 | 000,361,728 | ---- | C] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2007/12/21 10:46:32 | 000,118,784 | ---- | C] () -- C:\WINDOWS\System32\TosBtAcc.dll
[2007/09/13 08:42:30 | 000,499,712 | ---- | C] () -- C:\WINDOWS\System32\AmRes_ru.dll
[2007/09/13 08:42:30 | 000,471,040 | ---- | C] () -- C:\WINDOWS\System32\AmRes_pt-BR.dll
[2007/09/13 08:42:28 | 000,487,424 | ---- | C] () -- C:\WINDOWS\System32\AmRes_it.dll
[2007/09/13 08:42:28 | 000,487,424 | ---- | C] () -- C:\WINDOWS\System32\AmRes_fr.dll
[2007/09/13 08:42:28 | 000,462,848 | ---- | C] () -- C:\WINDOWS\System32\AmRes_ko.dll
[2007/09/13 08:42:28 | 000,458,752 | ---- | C] () -- C:\WINDOWS\System32\AmRes_ja.dll
[2007/09/13 08:42:26 | 000,487,424 | ---- | C] () -- C:\WINDOWS\System32\AmRes_es.dll
[2007/09/13 08:42:26 | 000,487,424 | ---- | C] () -- C:\WINDOWS\System32\AmRes_de.dll
[2007/09/13 08:42:26 | 000,466,944 | ---- | C] () -- C:\WINDOWS\System32\AmRes_en.dll
[2007/09/13 08:42:26 | 000,434,176 | ---- | C] () -- C:\WINDOWS\System32\AmRes_zh-CHT.dll
[2007/09/13 08:36:24 | 000,438,272 | ---- | C] () -- C:\WINDOWS\System32\AmRes_zh-CHS.dll
[2007/09/13 08:32:36 | 000,176,128 | ---- | C] () -- C:\WINDOWS\System32\CacheFP.exe
[2007/09/12 09:05:08 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\Internationalization_pt.dll
[2007/09/12 09:04:46 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\Internationalization_zh-CHT.dll
[2007/09/12 09:04:26 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\Internationalization_ko.dll
[2007/09/12 09:04:06 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\Internationalization_es.dll
[2007/09/12 09:03:44 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\Internationalization_ru.dll
[2007/09/12 09:03:24 | 000,090,112 | ---- | C] () -- C:\WINDOWS\System32\Internationalization_ja.dll
[2007/09/12 09:03:04 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\Internationalization_it.dll
[2007/09/12 09:02:44 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\Internationalization_de.dll
[2007/09/12 09:02:22 | 000,102,400 | ---- | C] () -- C:\WINDOWS\System32\Internationalization_fr.dll
[2007/09/12 09:02:02 | 000,086,016 | ---- | C] () -- C:\WINDOWS\System32\Internationalization_zh-CHS.dll
[2007/09/10 03:53:26 | 000,262,144 | ---- | C] () -- C:\WINDOWS\System32\wxvault.dll
[2007/06/15 04:19:20 | 000,835,584 | ---- | C] () -- C:\WINDOWS\System32\DemoLicense.dll
[2006/08/14 05:02:10 | 000,072,192 | ---- | C] () -- C:\WINDOWS\System32\xltZlib.dll
[2006/06/12 02:01:16 | 000,348,160 | ---- | C] () -- C:\WINDOWS\tsp.dll
[2005/07/22 15:30:18 | 000,065,536 | ---- | C] () -- C:\WINDOWS\System32\TosCommAPI.dll
[2004/09/10 07:34:00 | 000,917,504 | ---- | C] () -- C:\WINDOWS\System32\lmgr10.dll
[2004/09/10 07:34:00 | 000,057,344 | ---- | C] () -- C:\WINDOWS\System32\ADsSecurity.dll
[1998/03/15 22:13:18 | 000,000,341 | ---- | C] () -- C:\WINDOWS\AS4P.INI
[1996/12/19 08:37:38 | 000,103,360 | ---- | C] () -- C:\WINDOWS\System32\S7OSC16X.DLL
[1996/12/19 08:36:48 | 000,014,848 | ---- | C] () -- C:\WINDOWS\System32\S7OSC32X.DLL
 
========== LOP Check ==========
 
[2013/01/30 03:26:41 | 000,000,000 | -HSD | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\7364A1
[2008/11/03 07:53:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Autodesk
[2013/01/30 03:26:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Biymz
[2009/12/28 16:59:54 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
[2009/12/08 09:12:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Datalayer
[2011/09/30 03:33:06 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\kikin
[2013/01/30 03:29:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Neved
[2010/08/11 12:12:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Nokia
[2012/05/16 04:14:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Nokia Multimedia Player
[2012/11/12 17:48:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\novar
[2009/03/05 02:44:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\OpenOffice.org
[2009/01/10 13:35:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\PC Suite
[2012/09/10 03:41:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Siemens
[2012/12/17 08:41:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\SKAT
[2010/11/02 01:19:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\STRATO
[2009/02/20 06:22:24 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\TeamViewer
[2012/02/03 07:59:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Toshiba
[2009/02/05 11:53:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Vodafone
[2008/10/14 16:21:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Wave Systems Corp
[2010/08/12 08:43:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Windows Search
[2013/01/30 03:26:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Ytpoky
[2008/10/14 16:21:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator.EAN-NZ\Anwendungsdaten\Wave Systems Corp
[2008/10/14 16:21:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Wave Systems Corp
[2009/02/05 11:53:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Vodafone
[2013/01/30 03:55:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rossow\Anwendungsdaten\kikin
[2008/10/14 16:21:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Rossow\Anwendungsdaten\Wave Systems Corp
[2011/07/24 13:03:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ask
[2008/11/03 07:43:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
[2012/09/10 03:41:43 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CC-Logs
[2012/09/10 03:37:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CommunicationsClients
[2013/01/15 05:07:19 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
[2008/10/14 16:15:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NTRU Cryptosystems
[2009/01/10 13:35:40 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
[2010/01/04 03:06:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RICOH
[2013/01/08 01:46:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Siemens
[2011/12/23 06:34:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2008/10/14 16:22:11 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Wave Systems Corp
[2009/12/24 12:32:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
 
========== Purity Check ==========
 
 
< End of report >
         

Hier die Extra Datei

Code:
ATTFilter
OTL Extras logfile created on: 1/31/2013 5:49:35 PM - Run 
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2.00 Gb Total Physical Memory | 2.00 Gb Available Physical Memory | 85.00% Memory free
2.00 Gb Paging File | 2.00 Gb Available in Paging File | 96.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 111.69 Gb Total Space | 39.83 Gb Free Space | 35.66% Space Free | Partition Type: NTFS
Drive D: | 3.75 Gb Total Space | 3.73 Gb Free Space | 99.52% Space Free | Partition Type: FAT32
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
 
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" ()
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Programme\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" ()
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0394CDC8-FABD-4ED8-B104-03393876DFDF}" = Roxio Creator Tools
"{04B45310-A5FE-4425-BFCA-1A6D8920DE74}" = OpenOffice.org 3.0
"{07159635-9DFE-4105-BFC0-2817DB540C68}" = Roxio Activation Module
"{07D618CD-B016-438A-ADC9-A75BD23F85CE}" = Wave Support Software
"{0A0CADCF-78DA-33C4-A350-CD51849B9702}" = Microsoft .NET Framework 4 Extended
"{0B0A2153-58A6-4244-B458-25EDF5FCD809}" = Private Information Manager
"{0D397393-9B50-4C52-84D5-77E344289F87}" = Roxio Creator Data
"{177D1318-3E4B-4A7C-A300-AC4E21BE090B}" = Broadcom Management Programs
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{24A494F3-5B5F-4183-9F7D-9CE82812C1FC}" = tsp patch
"{26A24AE4-039D-4CA4-87B4-2F83216033FF}" = Java(TM) 6 Update 37
"{294EAADF-E50F-4DD8-AD8D-19587EA10512}" = Modem Diagnostic Tool
"{2E7090AF-A54A-45F6-83BE-14EBDC3144E3}" = SD-TestBus2 v3.20
"{2F4C24E6-CBD4-4AAC-B56F-C9FD44DE5668}" = Roxio Drag-to-Disc
"{30465B6C-B53F-49A1-9EBA-A3F187AD502E}" = Roxio Update Manager
"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java(TM) 6 Update 7
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{388E4B09-3E71-4649-8921-F44A3A2954A7}" = Microsoft Visual Studio 2005 Tools for Office Runtime
"{3A6BE9F4-5FC8-44BB-BE7B-32A29607FEF6}" = Preboot Manager
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{3E00C574-B650-401D-A898-4581AAD6CC74}" = STRATO HiDrive
"{3F92ABBB-6BBF-11D5-B229-002078017FBF}" = NetWaiting
"{498A4E3D-562E-4129-8722-6DCAB12384AE}" = Windows Communication Foundation Language Pack - DEU
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4BF18ED6-C888-4BCF-A4AF-AC7A16305BC1}" = GemSafe Standard Edition 5.1
"{51AE9E42-640D-4C14-A9B6-43F64AA4E3E2}" = Document Manager Lite
"{51F60141-4702-43BF-A3CD-C3660A70AD52}" = WINFEM Advanced V15.02
"{53333479-6A52-4816-8497-5C52B67ED339}" = EMBASSY Security Setup
"{5783F2D7-0209-0407-0000-0060B0CE6BBA}" = AutoCAD LT 2004
"{5A3C1721-F8ED-11E0-8AFB-B8AC6F97B88E}" = Google Earth
"{5CE3AA98-6719-11D6-B333-0002B332DD50}" = Pro DS 2000 V02.00
"{5EC5F187-9D2B-4051-8906-88656819A869}" = Dell Drivers MSI
"{619CDD8A-14B6-43A1-AB6C-0F4EE48CE048}" = Roxio Creator Copy
"{6675CA7F-E51B-4F6A-99D4-F8F0124C6EAA}" = Roxio Express Labeler 3
"{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}" = PowerDVD
"{698D7E61-E4BF-4CA6-8A09-CF6BDBFDEF65}" = Battlefield 1942
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{7228FD8C-3B9E-4204-AE36-8A466107685B}" = Windows Workflow Foundation DE Language Pack
"{7299052b-02a4-4627-81f2-1818da5d550d}" = Microsoft Visual C++ 2005 Redistributable
"{770657D0-A123-3C07-8E44-1C83EC895118}" = Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
"{83FFCFC7-88C6-41C6-8752-958A45325C82}" = Roxio Creator Audio
"{880AF49C-34F7-4285-A8AD-8F7A3D1C33DC}" = Roxio Creator BDAV Plugin
"{8937FCB2-2FC6-4FC3-9FB5-DE2C92DB9C38}" = Microsoft .NET Framework 2.0 Language Pack - DEU
"{8CE64961-6E73-4B57-838E-765FBB664B2A}_is1" = Ackermann Produkt Schulung 4.16R_001_005
"{8D337F77-BE7F-41A2-A7CB-D5A63FD7049B}" = Sonic CinePlayer Decoder Pack
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_PROHYBRIDR_{DB2ACBD1-65B1-4FC5-881E-4E75C668E7E2}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_PROHYBRIDR_{928D7B99-2BEA-49F9-83B8-20FA57860643}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_PROHYBRIDR_{1FF96026-A04A-4C3E-B50A-BB7022654D0F}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_PROHYBRIDR_{71F055E8-E2C6-4214-BB3D-BFE03561B89E}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_PROHYBRIDR_{A23BFC95-4A73-410F-9248-4C2B48E38C49}" = Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_PROHYBRIDR_{A6353E8F-5B8D-47CC-8737-DFF032ED3973}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{90140000-2005-0000-0000-0000000FF1CE}" = Microsoft Office File Validation Add-In
"{91120000-0031-0000-0000-0000000FF1CE}" = Microsoft Office Professional Hybrid 2007
"{91120000-0031-0000-0000-0000000FF1CE}_PROHYBRIDR_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}" = Microsoft Office 2007 Service Pack 3 (SP3)
"{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}" = Windows Presentation Foundation Language Pack (DEU)
"{9593C6E5-205E-45C3-B785-05CF146CA76A}" = biolsp patch
"{9BE518E6-ECC6-35A9-88E4-87755C07200F}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
"{9F72EF8B-AEC9-4CA5-B483-143980AFD6FD}" = Dell Touchpad
"{A093D83F-429A-4AB2-A0CD-1F7E9C7B764A}" = Trusted Drive Manager
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{ABBA2EA4-740E-4052-902B-9CA70B081E3F}" = Dell Embassy Trust Suite by Wave Systems
"{AC76BA86-7AD7-1031-7B44-A81300000003}" = Adobe Reader 8.1.5 - Deutsch
"{AC76BA86-7AD7-1031-7B44-A81300000003}_814" = KB408682
"{B73B4A99-4173-4747-BBEC-0F05E966F9D2}" = Battlefield 1942: Secret Weapons of WWII
"{BAF78226-3200-4DB4-BE33-4D922A799840}" = Windows Presentation Foundation
"{BC0DCD27-345B-4013-A6E0-67EC92DF32C8}" = Presto! PVR
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C5074CC4-0E26-4716-A307-960272A90040}" = QuickSet
"{C53ED289-218E-4A1B-8760-E7A11B6EB682}" = Skat 9.0
"{C884B05A-F5D9-4AE4-9D84-E6BD9F6E7890}" = FlatOut2
"{C8B0680B-CDAE-4809-9F91-387B6DE00F7C}" = Roxio Creator DE
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CD95F661-A5C4-44F5-A6AA-ECDD91C240B8}" = WinZip 12.1
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}" = Bluetooth Stack for Windows by Toshiba
"{CECAB248-63E9-45E3-8559-96D4EB9AE50F}" = USB driver kit V05.02
"{D057AA08-8CBF-42E3-9EAB-23B8FED1C279}" = Battlefield 1942: The Road To Rome
"{D1E829E9-88B8-47C6-A75E-0D40E2C09D50}" = Secure Update
"{D464F077-9AE9-4D4A-9EE7-1C04BF900560}" = CommunicationsClients
"{D66B3FE0-CDE1-11D5-85E3-0002B332DF5E}" = WINFEM MB100.10 V05
"{D9FCA292-1186-421F-8D93-9A5D272AD5D0}" = IntelliSonic Speech Enhancement
"{DF30D2E1-F265-4E21-8462-4CE2EB16FFE0}_is1" = FATProg3 für Windows
"{E4A71A41-BCC8-480a-9E69-0DA29CBA7ECA}" = kikin plugin 2.9
"{E56D5DC8-4C73-44B1-B650-AAD75C7A2701}" = Broadcom ASF Management Applications
"{E646DCF0-5A68-11D5-B229-002078017FBF}" = Digital Line Detect
"{E738A392-F690-4A9D-808E-7BAF80E0B398}" = ESC Home Page Plugin
"{EB4DF30B-102B-4F0C-927A-D50E037A325D}" = AuthenTec Fingerprint Sensor Minimum Install
"{EC84E3E6-C2D6-4DFB-81E0-448324C8FDF4}" = Security Wizards
"{ECC22AFA-B905-4A6A-8072-10F52B9E09B7}" = Wave Infrastructure Installer
"{EEAFE1E5-076B-430A-96D9-B567792AFA88}" = EMBASSY Security Center
"{EF05BA0F-AC15-4D12-AC5C-276225F5E751}" = Gemalto
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F1802FA6-54E9-4B24-BD2A-B50866819795}" = EMBASSY Trust Suite by Wave Systems
"{F2A7F421-1679-48D5-B918-96999014ED53}" = Microsoft .NET Framework 3.0 German Language Pack
"{F40BBEC7-C2A4-4A00-9B24-7A055A2C5262}" = Microsoft Office Live Add-in 1.5
"{F4AAFD7E-59DA-4314-A222-C7EF86525178}" = CEAG ZB-S PC-Software V2.07
"{FBEC50B7-537C-4A0E-8B0B-F7A8F8BF13CE}" = upekmsi
"{FEC193E4-6C5F-40E9-A249-7D8C8404A9EC}" = NTRU TCG Software Stack
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"Battlecraft 19422.1" = Battlecraft 1942
"Broadcom 802.11b Network Adapter" = Dienstprogramm für Dell Wireless WLAN Karte
"Castle Crashers_is1" = Castle Crashers
"CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2C06&SUBSYS_14F1000F" = Conexant HDA D330 MDC V.92 Modem
"D1Designer 3.6 Hotfix 1" = D1Designer 3.6 Hotfix 1
"D1Designer 3.6.2 Release" = D1Designer 3.6.2 Release
"DesertCombat" = DesertCombat  0.7
"FATProg3Win" = FATProg3Win
"Google Updater" = Google Updater
"HDMI" = Intel(R) Graphics Media Accelerator Driver
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"InstallShield_{07D618CD-B016-438A-ADC9-A75BD23F85CE}" = Wave Support Software
"InstallShield_{0B0A2153-58A6-4244-B458-25EDF5FCD809}" = Private Information Manager
"InstallShield_{51AE9E42-640D-4C14-A9B6-43F64AA4E3E2}" = Document Manager Lite
"InstallShield_{53333479-6A52-4816-8497-5C52B67ED339}" = EMBASSY Security Setup
"InstallShield_{D1E829E9-88B8-47C6-A75E-0D40E2C09D50}" = Secure Update
"InstallShield_{E738A392-F690-4A9D-808E-7BAF80E0B398}" = ESC Home Page Plugin
"InstallShield_{EC84E3E6-C2D6-4DFB-81E0-448324C8FDF4}" = Security Wizards
"InstallShield_{EEAFE1E5-076B-430A-96D9-B567792AFA88}" = EMBASSY Security Center
"MDT" = Battlefield Mod Development Toolkit 2.0 Beta
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 2.0 Language Pack - DEU" = Microsoft .NET Framework 2.0 Language Pack - DEU
"Microsoft .NET Framework 3.0 German Language Pack" = Microsoft .NET Framework 3.0 German Language Pack
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Extended" = Microsoft .NET Framework 4 Extended
"Microsoft Visual Studio 2005 Tools for Office Runtime" = Visual Studio 2005 Tools for Office Second Edition Runtime
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"PhotoScape" = PhotoScape
"Picasa 3" = Picasa 3
"Pontifex" = Pontifex
"PROHYBRIDR" = 2007 Microsoft Office system
"tools 8000" = tools 8000
"VLC media player" = VLC media player 2.0.2
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Wdf01009" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.9
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"WINFEM-100 Version V01.01" = WINFEM-100 Version V01.01
"WinRAR archiver" = WinRAR
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XpsEPSC" = XML Paper Specification Shared Components Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
 
< End of report >
         
Wie soll ich jetzt weiter vorgehen?
__________________

Alt 01.02.2013, 10:50   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ean-nz.local.de
Firmenrechner werden hier eigentlich nicht bereinigt

Siehe => http://www.trojaner-board.de/108422-...-anfragen.html

Zitat:
3. Grundsätzlich bereinigen wir keine gewerblich genutzten Rechner. Dafür ist die IT Abteilung eurer Firma zuständig.

Bei Kleinunternehmen, welche keinen IT Support haben, machen wir da eine Ausnahme und helfen gerne ( kleine Spende hilft auch uns ).
Voraussetzung: Ihr teilt uns dies in eurer ersten Antwort mit.
Bedenkt jedoch, dass Logfiles viele heikle Informationen enthalten können ( Kundendaten, Bankdaten, etc ) sowie das Malware die Möglichkeit besitzt, diese auszuspähen und zu missbrauchen. Hier legen wir euch ein Formatieren und Neuaufsetzen nahe.
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.02.2013, 12:40   #5
RFM
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Das Notebook ist aber Privatbesitz. Ich habe in der Firma einen großen Desktop PC.
Die Domäne habe ich eingerichtet weil ich hin und wieder mit dem Notebook was in der Firma erledige und damit Zuhause weiter arbeiten kann. Deshalb sind auf dem Notebook auch viele Dateien und Programme von der Firma etc.
Ist es denn möglich die Festplatte auszubauen und die wichtigsten Dateien über einen anderen PC auszulesen? Es sind nämlich zu viele Private Bilder dabei.

MfG


Alt 01.02.2013, 13:41   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Wenn das ein Domänenrechner ist, ist nach meinem Verständnis die EDV-Abteilung deiner Firma dafür zuständig. Nur mal als Tipp, denk an Gruppenrichtlinien und so. Außerdem muss die EDV Bescheid wissen, dass da ein infizierter Rechner in ihrer Domäne hängt.
__________________
--> GVU Trojaner mit angeblicher Webcam Überwachung

Alt 01.02.2013, 14:06   #7
RFM
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Leider haben wir keine EDV Abteilung bei uns (wahrscheinlich ist die Firma zu klein). Das läuft soweit ich weis über eine externe Firma die maximal 2 mal im Jahr da ist. Nagut dann muss ich halt versuchen anders an meine Daten zu kommen.
Trotzdem vielen Danke für die bisherige Hilfe

Alt 01.02.2013, 14:13   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Wenn ihr wirklich keine eigenen EDV habt, machen wir natürlich gern auch hier eine Ausnahme
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 01.02.2013, 14:19   #9
RFM
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Wenn ihr das machen würdet wäre das echt TOP

Alt 01.02.2013, 14:36   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Mach einen OTL-Fix über OTLPE, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
ATTFilter
:OTL
SRV - [2013/01/30 03:26:41 | 000,196,608 | -HS- | M] (?????????? ??????????) [Auto] -- C:\Dokumente und Einstellungen\All Users\ms0071364C.dat -- (winmgmt)
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O3 - HKU\Frank_Rossow_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - HKU\Frank_Rossow_ON_C..\Run: [Ofyhyvkemi] C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Biymz\uguka.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: 25761 = C:\DOKUME~1\ALLUSE~1\LOCALS~1\Temp\msueyyb.scr ()
O7 - HKU\Frank_Rossow_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Classes = C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\7364A1\7364A1.exe ()
:Files
C:\Dokumente und Einstellungen\All Users\ms0071364C.dat
C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Biymz
C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\7364A1
C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\kikin
C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Ytpoky
C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Neved
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.pad
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\*.js
C:\Dokumente und Einstellungen\Rossow\Startmenü\Programme\Autostart\runctf.lnk
:Commands
[purity]
[resethosts]
         
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Die mit diesem Script gefixten Einträge, Dateien und Ordner werden zur Sicherheit nicht vollständig gelöscht, es wird eine Sicherheitskopie auf der Systempartition im Ordner "_OTL" erstellt.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Danach sollte Windows wieder normal starten - stell uns bitte den Quarantäneordner von OTL zur Verfügung. Dabei bitte so vorgehen:

1.) GANZ WICHTIG!! Virenscanner deaktivieren, der darf das Packen nicht beeinträchtigen!
2.) Ordner movedfiles in C:\_OTL in eine Datei zippen
3.) Die erstellte ZIP-Datei hier hochladen => http://www.trojaner-board.de/54791-a...ner-board.html

Hinweis: Die Datei bitte wie in der Anleitung zum UpChannel angegeben auch da hochladen. Bitte NICHT die ZIP-Datei hier als Anhang in den Thread posten!

4.) Wenns erfolgreich war Bescheid sagen
5.) Erst dann wieder den Virenscanner einschalten
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.02.2013, 18:23   #11
RFM
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Hallo
Super das Notebook startet erst mal wieder. Leider kommen beim Start 2 Fehler.
Erster Fehler: "Error 80070424 in ConnectServer: Der angegebene Dienst ist kein installierter Dienst".
Zweiter Fehler: "Fehler beim Laden von C:\DOKUME~1\ALLUSE~1\ms0071364C.dat Das angegebene Modul wurde nicht gefunden"
Beim 2 Hochfahren von Windows, schlägt jetzt immer Avira Alarm das es 2 Viren oder unerwünschte Programme gefunden hat und das der Zugriff verweigert wurde. Die Dateien heißen "TR/ATRAPS.Gen2" und "TR/ATRAPS.Gen". Habe diese beiden erstmal in Quarantäne verschoben.
Den Ordner Movedfiles habe ich natürlich vorher als ZIP-Datei erstellt und hier, wie beschrieben hoch geladen.

Hier die Fix-Logfiles

Code:
ATTFilter
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winmgmt deleted successfully.
C:\Dokumente und Einstellungen\All Users\ms0071364C.dat moved successfully.
Registry value HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_USERS\Frank_Rossow_ON_C\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.
Registry value HKEY_USERS\Frank_Rossow_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Ofyhyvkemi deleted successfully.
C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Biymz\uguka.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\25761 deleted successfully.
C:\Dokumente und Einstellungen\All Users\Local Settings\Temp\msueyyb.scr moved successfully.
Registry value HKEY_USERS\Frank_Rossow_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Classes deleted successfully.
C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\7364A1\7364A1.exe moved successfully.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\All Users\ms0071364C.dat not found.
C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Biymz folder moved successfully.
C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\7364A1 folder moved successfully.
C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\kikin folder moved successfully.
C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Ytpoky folder moved successfully.
C:\Dokumente und Einstellungen\Frank Rossow\Anwendungsdaten\Neved folder moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\C.pad moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\C4631700sm.pad moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\C4631700sm.js moved successfully.
C:\Dokumente und Einstellungen\Rossow\Startmenü\Programme\Autostart\runctf.lnk moved successfully.
========== COMMANDS ==========
C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 02022013_174105
         
Wie sollte ich weiter vorgehen?

Mit freundlichen Grüßen

Alt 02.02.2013, 18:28   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Super, hast wahrscheinlich auch noch einen ZeroAccess
Poste bitte mal alle Logs von AntiVir und wenn vorhanden anderen Scannern siehe http://www.trojaner-board.de/125889-...tml#post941520
(bitte KEINE neuen Scans machen!!! nur schon vorhandene Logs posten)

Machst du OnlineBanking mit diesem Rechner unter Windows bzw. hast du das noch vor?

Die Datei ist im Upchannel leider nicht angekommen, ich vermute sie ist zu groß, lad sie bitte bei http://file-upload.net hoch und verlink es hier
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.02.2013, 18:33   #13
RFM
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Habe ebend gerade erst die ZIP-Datei Hochgeladen... Müsste jetzt da sein.
Nein Online Banking mache ich nicht.

Alt 02.02.2013, 18:34   #14
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Ok, ich kann dir aber beim ZAccess nicht versprechen, dass wir den sicher weg kriegen. Willst du trotzdem bereinigen oder lieber formatieren und neu installieren?
__________________
Logfiles bitte immer in CODE-Tags posten

Alt 02.02.2013, 18:44   #15
RFM
 
GVU Trojaner mit angeblicher Webcam Überwachung - Standard

GVU Trojaner mit angeblicher Webcam Überwachung



Also ich mache jetzt erst mal einen Scan mit Avira. Leider dauert das immer eine Weile. Versuche dann die LOGFiles zu posten Kann ich denn meine Dateien auf einen anderen PC Speichern? Oder wird der andere PC dann auch Infiziert?
Also denke mal wenn das nicht anders geht, werde ich wohl das Sytem neu aufsetzen.

Antwort

Themen zu GVU Trojaner mit angeblicher Webcam Überwachung
antivir, avira, benutzerkonten, booten, computer, computer gesperrt 100 € zahlen, datei, dateien, gesperrt, gvu trojaner, infizierte, internetleitung, kaspersky, log, löschen, notebook, programm, scan, seite, system, trojaner, trojaner board, unlocker, verbindung, viren, webcam, wichtige daten, windows, windows xp, windows xp fix




Ähnliche Themen: GVU Trojaner mit angeblicher Webcam Überwachung


  1. Angeblicher Trojaner in ZZEE PHPExe
    Alles rund um Windows - 17.12.2014 (7)
  2. Trojaner windows7 64bit, 100€Mahnung wegen angeblicher Urheberrechtsverletzung, sperrbildschirm
    Log-Analyse und Auswertung - 09.10.2013 (3)
  3. GVU Trojaner hat Windows 7 gesperrt - Webcam - paysafecard oder ukash - Trojaner-Board
    Plagegeister aller Art und deren Bekämpfung - 26.06.2013 (3)
  4. Angeblicher Keylogger auf dem Rechner
    Plagegeister aller Art und deren Bekämpfung - 15.05.2013 (25)
  5. Telefonabzocke mit angeblicher Virenreinigung
    Nachrichten - 13.02.2013 (0)
  6. (2x) Verschlüsselungs Trojaner nach öffnen von angeblicher Rechnung einer Partnerbörse
    Mülltonne - 10.06.2012 (1)
  7. Angeblicher Trojanerfund von Norton
    Plagegeister aller Art und deren Bekämpfung - 29.05.2012 (9)
  8. Angeblicher Polizeitrojaner
    Log-Analyse und Auswertung - 09.08.2011 (1)
  9. angeblicher Virus?
    Plagegeister aller Art und deren Bekämpfung - 24.08.2010 (17)
  10. Sperrung Online-Banking / "angeblicher" Trojaner
    Plagegeister aller Art und deren Bekämpfung - 21.08.2010 (18)
  11. win32.messen-r: Angeblicher Trojaner geht nicht weg
    Plagegeister aller Art und deren Bekämpfung - 04.07.2010 (6)
  12. WEBCAM überwachung ????
    Überwachung, Datenschutz und Spam - 10.03.2009 (1)
  13. Trojaner - Keylogger Überwachung
    Überwachung, Datenschutz und Spam - 19.01.2009 (10)
  14. Zweifel an der automatischen Logfileauswertung, angeblicher Trojaner in Maustreibern
    Log-Analyse und Auswertung - 11.01.2008 (2)
  15. Trojaner in angeblicher Avira Mail
    Diskussionsforum - 24.04.2007 (1)
  16. M$-Überwachung
    Überwachung, Datenschutz und Spam - 28.06.2006 (8)
  17. Angeblicher RPCBOT.F
    Log-Analyse und Auswertung - 07.06.2006 (2)

Zum Thema GVU Trojaner mit angeblicher Webcam Überwachung - Sehr geehrtes Trojaner Board Team Ich habe mir gestern auf der Arbeit (30.01.2013 ungefähr 9:15 Uhr) den GVU Trojaner eingefangen. Das Viren Programm Antivir hat es zwar noch gemeldet das - GVU Trojaner mit angeblicher Webcam Überwachung...
Archiv
Du betrachtest: GVU Trojaner mit angeblicher Webcam Überwachung auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.