Hi,

bin total verzweifelt.
Glaube ich habe den Polizeitrojaner gefangen :-(

Hoffentlich kann mir einer der Spezialisten hier helfen.
Die folgenden scans habe ich über einen weiteren Benutzer gemacht da ich in dem einen Benutzer nicht einmal mehr den Taskmanager öffnen kann und alles durch ein Vollbild blockiert ist.

defrogger hat wohl abgebrochen.
und ich glaube GMER auch.

hier die scans:


defogger_disable by jpshortstuff (23.02.10.1)
Log created at 13:23 on 04/02/2013 (Andrea)

Checking for autostart values...
HKCU\~\Run values retrieved.
Unable to open HKLM\~\Run key (5)
HKLM\~\Run values retrieved.

Checking for services/drivers...


-=E.O.F=-



OTL logfile created on: 04.02.2013 13:26:27 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Andrea\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

253,98 Mb Total Physical Memory | 122,64 Mb Available Physical Memory | 48,29% Memory free
624,82 Mb Paging File | 409,78 Mb Available in Paging File | 65,58% Paging File free
Paging file location(s): C:\pagefile.sys 384 768 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 18,60 Gb Free Space | 49,92% Space Free | Partition Type: NTFS

Computer Name: USER-7DF944BEE4 | User Name: Andrea | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2013.02.04 13:26:18 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andrea\Desktop\OTL.exe
PRC - [2012.09.12 17:19:44 | 000,947,176 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2010.05.14 10:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2004.09.14 09:00:00 | 000,118,784 | ---- | M] (WinZip Computing, Inc.) -- C:\Programme\WinZip\WZQKPICK.EXE
PRC - [2004.06.08 17:20:00 | 000,327,680 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
PRC - [2004.04.15 14:33:48 | 000,233,539 | ---- | M] (Marmiko IT-Solutions GmbH) -- C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe


========== Modules (No Company Name) ==========

MOD - [2009.02.27 16:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2004.11.02 21:16:40 | 000,121,856 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2004.06.08 17:20:00 | 000,327,680 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
MOD - [2004.06.07 10:46:00 | 000,159,744 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\res.dll
MOD - [2004.06.04 12:52:00 | 000,077,824 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\iface.dll


========== Services (SafeList) ==========

SRV - File not found [On_Demand | Unknown] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.09.12 17:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) [Auto | Unknown] -- c:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2009.10.21 16:15:38 | 000,288,768 | ---- | M] (T-Systems International GmbH) [Auto | Unknown] -- C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe -- (DFSVC)
SRV - [2006.05.29 16:03:04 | 000,069,120 | ---- | M] (BOONTY) [On_Demand | Unknown] -- C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe -- (Boonty Games)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\XDva401.sys -- (XDva401)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Unknown] -- -- (PDCOMP)
DRV - File not found [Kernel | System | Unknown] -- -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\PROGRA~1\T-Online\T-DSLT~1\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | System | Unknown] -- C:\WINDOWS\system32\drivers\msbwatmr.sys -- (msbwatmr)
DRV - File not found [Kernel | System | Unknown] -- -- (lbrtfdc)
DRV - File not found [Kernel | System | Unknown] -- -- (i2omgmt)
DRV - File not found [Kernel | System | Unknown] -- -- (Changer)
DRV - File not found [Kernel | System | Unknown] -- -- (Beep)
DRV - [2013.02.04 12:42:51 | 000,029,904 | ---- | M] (Microsoft Corporation) [Kernel | System | Unknown] -- c:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2A991C87-2DB0-4284-A6D7-0E0EB892E1ED}\MpKslf4bb442d.sys -- (MpKslf4bb442d)
DRV - [2013.02.04 11:29:09 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\SFDRV01.SYS -- (sfdrv01)
DRV - [2011.06.02 10:08:34 | 000,011,336 | ---- | M] () [Kernel | On_Demand | Unknown] -- C:\Programme\SystemRequirementsLab\cpudrv.sys -- (cpudrv)
DRV - [2009.10.15 16:14:38 | 000,024,352 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\SipIMNDI.sys -- (SipIMNDI)
DRV - [2009.10.15 16:14:38 | 000,014,624 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand | Unknown] -- C:\Programme\T-Home\Dialerschutz-Software\DFSYS.sys -- (DFSYS)
DRV - [2006.03.13 10:38:23 | 000,006,656 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02)
DRV - [2005.12.10 12:50:44 | 000,001,792 | ---- | M] () [Kernel | Auto | Unknown] -- C:\WINDOWS\system32\drivers\zpmodemnt.sys -- (ZPMODEMSYSNTDRVNT)
DRV - [2005.11.03 15:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02)
DRV - [2005.03.12 21:07:57 | 000,015,781 | ---- | M] (Meetinghouse Data Communications) [Kernel | Auto | Unknown] -- C:\WINDOWS\system32\drivers\mdc8021x.sys -- (MDC8021X)
DRV - [2004.08.04 16:19:30 | 000,099,476 | ---- | M] (Syntek Ltd.) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\STK013W2.sys -- (DCamUSBSTK013)
DRV - [2001.02.12 21:02:26 | 000,047,616 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\TDSLAdap.sys -- (TDSLAdapter)
DRV - [2001.02.12 21:02:26 | 000,006,688 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\TDSLProt.sys -- (TDSLProtocol)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\BESITZ~1.USE\LOKALE~1\Temp\se.dll/sp.html
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}

IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Andrea\LOKALE~1\Temp\se.dll/sp.html
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
IE - HKCU\..\SearchScopes,DefaultScope = {F8B5795C-7318-46BE-862C-47FE2DE280B8}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\..\SearchScopes\{F8B5795C-7318-46BE-862C-47FE2DE280B8}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


========== FireFox ==========

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll File not found
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)



O1 HOSTS File: ([2005.12.10 12:50:28 | 000,000,023 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [sp] rundll32 C:\DOKUME~1\BESITZ~1.USE\LOKALE~1\Temp\se.dll,DllInstall File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [T-Home Dialerschutz-Software] C:\Programme\T-Home\Dialerschutz-Software\Defender.exe (T-Systems International GmbH)
O4 - HKLM..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe (Marmiko IT-Solutions GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\STK013 PNP Monitor.lnk = File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe File not found
O9 - Extra 'Tools' menuitem : PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe File not found
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/templates/ieawsdc.cab (Microsoft Office Template and Media Control)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/8/b/d/8bd77752-5704-4d68-a152-f7252adaa4f2/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (BDSCANONLINE Control)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6087.cab (Windows Live Safety Center Base Module)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} hxxp://god.t-online.de/download/ExentCtl.ocx (ExentInf Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1359916086187 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.5.13.0.cab (SysInfo Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{22F3A328-1E8C-498D-B83F-2DB49C6E68F3}: NameServer = 217.0.43.17 217.0.43.33
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/html - No CLSID value found
O18 - Protocol\Filter\text/plain - No CLSID value found
O20 - AppInit_DLLs: (karna.dats\system3) - File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - (igfxsrvc.dll) - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O27 - HKLM IFEO\chrome.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
O27 - HKLM IFEO\navigator.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
O27 - HKLM IFEO\opera.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
O27 - HKLM IFEO\safari.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.02.28 19:38:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)

========== Files/Folders - Created Within 30 Days ==========

[2013.02.04 13:25:27 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andrea\Desktop\OTL.exe
[2013.02.03 19:37:34 | 000,051,200 | ---- | C] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\rpinjgdb.sys
[2013.02.03 02:52:37 | 000,000,000 | ---D | C] -- C:\Programme\SystemRequirementsLab
[2013.02.02 23:53:56 | 000,000,000 | ---D | C] -- C:\gamigo
[2013.02.02 21:11:59 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Client
[1999.03.11 18:22:04 | 000,099,840 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
[1998.12.09 03:53:54 | 000,186,368 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAREG.DLL
[1998.12.09 03:53:54 | 000,070,144 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
[1998.12.09 03:53:54 | 000,048,640 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
[1998.12.09 03:53:54 | 000,031,744 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
[1998.12.09 03:53:54 | 000,017,920 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2013.02.04 13:26:18 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andrea\Desktop\OTL.exe
[2013.02.04 13:23:22 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Andrea\defogger_reenable
[2013.02.04 13:23:01 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Andrea\Desktop\Defogger.exe
[2013.02.04 12:36:07 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2013.02.04 12:36:00 | 000,000,358 | -H-- | M] () -- C:\WINDOWS\tasks\MpIdleTask.job
[2013.02.04 12:25:56 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.02.04 11:46:23 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\slpcsrj.pad
[2013.02.04 11:45:01 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.02.04 11:29:09 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\SFDRV01.SYS
[2013.02.03 19:37:34 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\rpinjgdb.sys
[2013.02.03 02:34:04 | 000,247,904 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.02.03 02:33:20 | 000,450,504 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.02.03 02:33:20 | 000,433,688 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.02.03 02:33:20 | 000,080,864 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.02.03 02:33:20 | 000,068,068 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.02.02 21:53:11 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Adobe Reader 9.lnk
[2013.02.02 21:13:25 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

========== Files Created - No Company Name ==========

[2013.02.04 13:23:22 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\defogger_reenable
[2013.02.04 13:22:17 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Desktop\Defogger.exe
[2013.02.03 19:53:32 | 000,000,358 | -H-- | C] () -- C:\WINDOWS\tasks\MpIdleTask.job
[2013.02.03 17:42:33 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\slpcsrj.pad
[2013.02.02 21:49:09 | 000,002,347 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Adobe Reader 9.lnk
[2013.02.02 21:49:09 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Adobe Reader 9.lnk
[2013.02.02 21:23:33 | 000,000,386 | -H-- | C] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2013.02.02 21:13:25 | 000,001,912 | ---- | C] () -- C:\WINDOWS\epplauncher.mif
[2013.02.02 21:13:07 | 000,001,678 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Microsoft Security Essentials.lnk
[2008.11.12 11:07:58 | 000,019,973 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\xiny.inf
[2008.11.12 11:07:57 | 000,013,289 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\muta.inf
[2008.11.12 11:07:57 | 000,011,305 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\utyhumute.scr
[2008.03.14 10:11:24 | 000,000,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\d3d9caps.dat
[2005.03.26 14:04:50 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

========== ZeroAccess Check ==========

[2006.06.08 18:53:12 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

========== LOP Check ==========

[2006.05.29 16:03:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BOONTY
[2007.11.26 23:54:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\HipSoft
[2009.03.06 18:42:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MumboJumbo
[2007.12.12 17:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PlayFirst
[2005.03.12 21:09:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Prism
[2005.04.20 07:51:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SBT
[2010.06.04 09:26:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online
[2010.03.17 23:50:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online_ZusatzSoftware
[2007.10.19 15:27:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
[2009.06.23 16:54:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zylom
[2008.07.02 07:58:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\ICQ
[2005.03.14 19:36:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\T-Online
[2013.02.04 12:54:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Ubisoft

========== Purity Check ==========



========== Alternate Data Streams ==========

@Alternate Data Stream - 130 bytes -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP:A18D1A5B
@Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP:A3E39C6A
@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP:0778CBF2

< End of report >


OTL Extras logfile created on: 04.02.2013 13:26:27 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Dokumente und Einstellungen\Andrea\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

253,98 Mb Total Physical Memory | 122,64 Mb Available Physical Memory | 48,29% Memory free
624,82 Mb Paging File | 409,78 Mb Available in Paging File | 65,58% Paging File free
Paging file location(s): C:\pagefile.sys 384 768 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 18,60 Gb Free Space | 49,92% Space Free | Partition Type: NTFS

Computer Name: USER-7DF944BEE4 | User Name: Andrea | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
htmlfile [edit] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" %1 (Microsoft Corporation)
htmlfile [print] -- "C:\Programme\Microsoft Office\Office\msohtmed.exe" /p %1 (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 1
"FirewallDisableNotify" = 1
"UpdatesDisableNotify" = 1
"AntiVirusOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

========== System Restore Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall" = 1
"DisableNotifications" = 0
"DoNotAllowExceptions" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP" = 139:TCP:*:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:*:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:*:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:*:Enabled:@xpsp2res.dll,-22002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall" = 1
"DoNotAllowExceptions" = 0
"DisableNotifications" = 0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"1900:UDP" = 1900:UDP:LocalSubNetisabled:@xpsp2res.dll,-22007
"2869:TCP" = 2869:TCP:LocalSubNetisabled:@xpsp2res.dll,-22008
"139:TCP" = 139:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22004
"445:TCP" = 445:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22005
"137:UDP" = 137:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22001
"138:UDP" = 138:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22002

========== Authorized Applications List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)
"C:\WINDOWS\system32\LEXPPS.EXE" = C:\WINDOWS\system32\LEXPPS.EXE:*:Enabled:LEXPPS.EXE
"%windir%\Network Diagnostic\xpnetdiag.exe" = %windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000 -- (Microsoft Corporation)
"C:\WINDOWS\system32\rundll32.exe" = C:\WINDOWS\system32\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausführen -- (Microsoft Corporation)
"C:\WINDOWS\system32\dpvsetup.exe" = C:\WINDOWS\system32\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test -- (Microsoft Corporation)
"C:\Programme\Skype\Plugin Manager\skypePM.exe" = C:\Programme\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager -- (Skype Technologies)
"C:\Programme\Internet Explorer\iexplore.exe" = C:\Programme\Internet Explorer\iexplore.exe:*:Enabled:enable -- (Microsoft Corporation)
"C:\WINDOWS\explorer.exe" = C:\WINDOWS\explorer.exe:*:Enabled:Windows Explorer -- (Microsoft Corporation)
"C:\Programme\Skype\Phone\Skype.exe" = C:\Programme\Skype\Phone\Skype.exe:*:Enabled:Skype -- (Skype Technologies S.A.)
"C:\gamigo\Golfstar\GolfStarPatcherLoader.exe" = C:\gamigo\Golfstar\GolfStarPatcherLoader.exe:*:Enabled:GSPatcher_Updater -- ()
"C:\gamigo\Golfstar\GolfStar.exe" = C:\gamigo\Golfstar\GolfStar.exe:*:Enabled:GolfStar -- ()
"C:\gamigo\Golfstar\GolfStarPatcher.exe" = C:\gamigo\Golfstar\GolfStarPatcher.exe:*:Enabled:GolfStar_Patcher -- ()


========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{00000407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Premium
"{00040407-78E1-11D2-B60F-006097C998E7}" = Microsoft Office 2000 Disc 2
"{18D10072035C4515918F7E37EAFAACFC}" = AutoUpdate
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java(TM) 6 Update 21
"{295C31E5-3F91-498E-9623-DA24D2FA2B6A}" = T-Online WLAN-Access Finder
"{3248F0A8-6813-11D6-A77B-00B0D0150020}" = J2SE Runtime Environment 5.0 Update 2
"{3248F0A8-6813-11D6-A77B-00B0D0150040}" = J2SE Runtime Environment 5.0 Update 4
"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6
"{3248F0A8-6813-11D6-A77B-00B0D0160030}" = Java(TM) 6 Update 3
"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java(TM) 6 Update 5
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{511A5609-446A-11D5-9FA6-0060087051D5}" = T-DSL Treiber
"{75CC4631-B04D-4AD2-BA55-05EA00BD73B1}" = STK013
"{7B63B2922B174135AFC0E1377DD81EC2}" = DivX
"{8283FCCD-AC71-4DC1-A81E-4F244FBBE11D}" = T-Online 5.0
"{86D6A20D-3910-4441-A3E5-EB6977251C86}" = Samsung USB Driver
"{8A708DD8-A5E6-11D4-A706-000629E95E20}" = Intel(R) Extreme Graphics Driver
"{8ADFC4160D694100B5B8A22DE9DCABD9}" = DivX Player
"{91E0258F-5EB1-4790-A92C-F5882DF1D3B5}" = DVAG Online-System
"{95120000-00B9-0409-0000-0000000FF1CE}" = Microsoft Application Error Reporting
"{981029E0-7FC9-4CF3-AB39-6F133621921A}" = Skype Toolbars
"{98EABC7F-B1A1-43A5-B505-5B4EC3908DCD}" = Microsoft Security Client
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A5CC2A09-E9D3-49EC-923D-03874BBD4C2C}" = Windows Defender Signatures
"{AC76BA86-7AD7-1031-7B44-A95000000001}" = Adobe Reader 9.5.3 - Deutsch
"{AEC0CEBC-0FC7-4716-8222-1C4A742719B1}" = Samsung Master
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C53FB914-C1F6-4F9D-93E2-A3A84935EC15}" = Sinus 154 data II
"{C7CA731B-BF9A-46D9-92CF-8A8737AE9240}" = System Requirements Lab for Intel
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D103C4BA-F905-437A-8049-DB24763BBE36}" = Skype™ 4.2
"{DF15059E-A356-47B2-B14B-6380ED32AB68}" = Microsoft Baseline Security Analyzer 1.2.1
"{E8C5BD56-F5D8-41D3-8A71-273468FE256A}" = T-Home Dialerschutz-Software
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"Adobe Acrobat 5.0" = Adobe Acrobat 5.0
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"DynaGeo_is1" = DynaGeo 3.1f
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"ie8" = Windows Internet Explorer 8
"kAmel V." = kAmel V. 3.2.9
"Macromedia Shockwave Player" = Macromedia Shockwave Player
"MGI_VideoWave_V1_0" = MGI VideoWave III (nur entfernen)
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Microsoft Security Client" = Microsoft Security Essentials
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"Passage 3 Christmas Edition" = Passage 3 Christmas Edition
"PokerStars.net" = PokerStars.net
"PROSet" = Intel(R) PRO Network Adapters and Drivers
"SearchAssistant Uninstall" = Search Assistant Uninstall
"WGA" = Windows Genuine Advantage Validation Tool
"Windows Live OneCare safety scanner" = Windows Live OneCare safety scanner
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR Archivierer
"WinZip" = WinZip
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0

========== Last 20 Event Log Errors ==========

Error: Unable to start EventLog service!

< End of report >


GMER 2.0.18454 - hxxp://www.gmer.net
Rootkit scan 2013-02-04 16:29:16
Windows 5.1.2600 Service Pack 3 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 rev. 0,00MB
Running: gmer_2.0.18454.exe; Driver: C:\DOKUME~1\BESITZ~1.USE\LOKALE~1\Temp\afrcypoc.sys


---- Kernel code sections - GMER 2.0 ----

? C:\DOKUME~1\BESITZ~1.USE\LOKALE~1\Temp\afrcypoc.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 2.0 ----

.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] USER32.dll!SetWindowsHookExW 7E37820F 5 Bytes JMP 41269A75 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] USER32.dll!CallNextHookEx 7E37B3C6 5 Bytes JMP 4125D101 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAC4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] USER32.dll!UnhookWindowsHookEx 7E37D5F3 5 Bytes JMP 411D466E C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4136473F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364671 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413646DC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364542 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413645A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413647A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364606 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] ole32.dll!CoCreateInstance 774D057E 5 Bytes JMP 4126DB20 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[1360] ole32.dll!OleLoadFromStream 774F9C85 5 Bytes JMP 41364AA7 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3644] USER32.dll!DialogBoxParamW 7E3747AB 5 Bytes JMP 41195505 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3644] USER32.dll!CreateWindowExW 7E37D0A3 5 Bytes JMP 4126DAC4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3644] USER32.dll!DialogBoxIndirectParamW 7E382072 5 Bytes JMP 4136473F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3644] USER32.dll!MessageBoxIndirectA 7E38A082 5 Bytes JMP 41364671 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3644] USER32.dll!DialogBoxParamA 7E38B144 5 Bytes JMP 413646DC C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3644] USER32.dll!MessageBoxExW 7E3A0838 5 Bytes JMP 41364542 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3644] USER32.dll!MessageBoxExA 7E3A085C 5 Bytes JMP 413645A4 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3644] USER32.dll!DialogBoxIndirectParamA 7E3A6D7D 5 Bytes JMP 413647A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Programme\Internet Explorer\IEXPLORE.EXE[3644] USER32.dll!MessageBoxIndirectW 7E3B64D5 5 Bytes JMP 41364606 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

---- Registry - GMER 2.0 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg@Description Registrierungsserver
Reg HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
Reg HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths@Machine System\CurrentControlSet\Control\ProductOptions?System\CurrentControlSet\Control\Print\Printers?System\CurrentControlSet\Control\Server Applications?System\CurrentControlSet\Services\Eventlog?Software\Microsoft\OLAP Server?Software\Microsoft\Windows NT\CurrentVersion?System\CurrentControlSet\Control\ContentIndex?System\CurrentControlSet\Control\Terminal Server?System\CurrentControlSet\Control\Terminal Server\UserConfig?System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration?
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@DisplayNameFile %SystemRoot%\System32\els.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@DisplayNameID 257
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@File %SystemRoot%\System32\config\SecEvent.Evt
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@MaxSize 524288
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@PrimaryModule Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@Retention 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@Sources Spooler?ServiceModel 3.0.0.0?Security Account Manager?SC Manager?NetDDE Object?LSA?DS?Security?
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@RestrictGuestAccess 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\DS
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\DS@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\DS\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\DS\ObjectNames@Directory Service Object 7680
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA\ObjectNames@PolicyObject 5632
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA\ObjectNames@SecretObject 5648
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA\ObjectNames@TrustedDomainObject 5664
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA\ObjectNames@UserAccountObject 5680
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\NetDDE Object
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\NetDDE Object@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\NetDDE Object\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\NetDDE Object\ObjectNames@DDE Share 7424
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\SC Manager
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\SC Manager@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\SC Manager\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\SC Manager\ObjectNames@SC_MANAGER Object 7168
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\SC Manager\ObjectNames@SERVICE Object 7184
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security@CategoryCount 9
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security@CategoryMessageFile %SystemRoot%\System32\MsAuditE.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security@GuidMessageFile %SystemRoot%\System32\NtMarta.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security@EventMessageFile %SystemRoot%\System32\MsAuditE.dll;%SystemRoot%\System32\xpsp2res.dll;%SystemRoot%\System32\xpsp3res.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security@TypesSupported 28
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Channel 5120
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Desktop 6672
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Device 4352
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Directory 4368
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Event 4384
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@EventPair 4400
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@File 4416
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@IoCompletion 4864
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Job 5136
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Key 4432
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@MailSlot 4416
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Mutant 4448
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@NamedPipe 4416
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Port 4464
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Process 4480
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Profile 4496
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Section 4512
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Semaphore 4528
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@SymbolicLink 4544
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Thread 4560
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Timer 4576
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Token 4592
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Type 4608
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@WaitablePort 4464
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@WindowStation 6656
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_ALIAS 5424
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_DOMAIN 5392
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_GROUP 5408
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_SERVER 5376
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_USER 5440
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0@EventMessageFile c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelEvents.dll.mui
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0@TypesSupported 31
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0@ParameterMessageFile c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelEvents.dll.mui
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0@CategoryCount 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0@EventSourceFlags 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0@CategoryMessageFile %SystemRoot%\System32\MsAuditE.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Spooler
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Spooler@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Spooler\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Spooler\ObjectNames@Document 6944
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Spooler\ObjectNames@Printer 6928
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Spooler\ObjectNames@Server 6912
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Library C:\WINDOWS\system32\wbem\wmiaprpl.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Open WmiOpenPerfData
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Collect WmiCollectPerfData
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Close WmiClosePerfData
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Last Counter 5760
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Last Help 5761
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@First Counter 5756
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@First Help 5757
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Object List 5756 5756
Reg HKLM\SYSTEM\ControlSet003\Control\SecurePipeServers\winreg@Description Registrierungsserver
Reg HKLM\SYSTEM\ControlSet003\Control\SecurePipeServers\winreg\AllowedPaths (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Control\SecurePipeServers\winreg\AllowedPaths@Machine System\CurrentControlSet\Control\ProductOptions?System\CurrentControlSet\Control\Print\Printers?System\CurrentControlSet\Control\Server Applications?System\CurrentControlSet\Services\Eventlog?Software\Microsoft\OLAP Server?Software\Microsoft\Windows NT\CurrentVersion?System\CurrentControlSet\Control\ContentIndex?System\CurrentControlSet\Control\Terminal Server?System\CurrentControlSet\Control\Terminal Server\UserConfig?System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration?
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@DisplayNameFile %SystemRoot%\System32\els.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@DisplayNameID 257
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@File %SystemRoot%\System32\config\SecEvent.Evt
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@MaxSize 524288
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@PrimaryModule Security
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@Retention 0
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@Sources Spooler?ServiceModel 3.0.0.0?Security Account Manager?SC Manager?NetDDE Object?LSA?DS?Security?
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@RestrictGuestAccess 1
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\DS (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\DS@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\DS\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\DS\ObjectNames@Directory Service Object 7680
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA\ObjectNames@PolicyObject 5632
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA\ObjectNames@SecretObject 5648
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA\ObjectNames@TrustedDomainObject 5664
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA\ObjectNames@UserAccountObject 5680
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\NetDDE Object (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\NetDDE Object@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\NetDDE Object\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\NetDDE Object\ObjectNames@DDE Share 7424
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\SC Manager (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\SC Manager@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\SC Manager\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\SC Manager\ObjectNames@SC_MANAGER Object 7168
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\SC Manager\ObjectNames@SERVICE Object 7184
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security@CategoryCount 9
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security@CategoryMessageFile %SystemRoot%\System32\MsAuditE.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security@GuidMessageFile %SystemRoot%\System32\NtMarta.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security@EventMessageFile %SystemRoot%\System32\MsAuditE.dll;%SystemRoot%\System32\xpsp2res.dll;%SystemRoot%\System32\xpsp3res.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security@TypesSupported 28
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Channel 5120
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Desktop 6672
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Device 4352
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Directory 4368
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Event 4384
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@EventPair 4400
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@File 4416
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@IoCompletion 4864
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Job 5136
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Key 4432
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@MailSlot 4416
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Mutant 4448
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@NamedPipe 4416
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Port 4464
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Process 4480
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Profile 4496
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Section 4512
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Semaphore 4528
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@SymbolicLink 4544
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Thread 4560
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Timer 4576
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Token 4592
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Type 4608
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@WaitablePort 4464
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@WindowStation 6656
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_ALIAS 5424
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_DOMAIN 5392
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_GROUP 5408
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_SERVER 5376
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_USER 5440
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0@EventMessageFile c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelEvents.dll.mui
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0@TypesSupported 31
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0@ParameterMessageFile c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelEvents.dll.mui
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0@CategoryCount 3
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0@EventSourceFlags 1
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0@CategoryMessageFile %SystemRoot%\System32\MsAuditE.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Spooler (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Spooler@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Spooler\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Spooler\ObjectNames@Document 6944
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Spooler\ObjectNames@Printer 6928
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Spooler\ObjectNames@Server 6912
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Library C:\WINDOWS\system32\wbem\wmiaprpl.dll
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Open WmiOpenPerfData
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Collect WmiCollectPerfData
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Close WmiClosePerfData
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Last Counter 5760
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Last Help 5761
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@First Counter 5756
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@First Help 5757
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Object List 5756 5756

---- Disk sectors - GMER 2.0 ----

Disk \Device\Harddisk0\DR0 sector 00: rootkit-like behavior

---- EOF - GMER 2.0 ----


Ich sage schonmal vorab das ich wirklich garnichts davon verstehe. Seid bitte nachsichtig für meine Fehler.

Danke

Ich habe dein Thema in Arbeit und melde mich so schnell als möglich mit weiteren Anweisungen.

Bitte beachte, dass alle meine Antworten zuerst von einem Ausbilder freigegeben werden müssen, bevor ich diese hier posten darf. Dies garantiert, dass du Hilfe von einem ausgebildeten Helfer bekommst.

Ich bedanke mich für deine Geduld.

Hallo Didi14 und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf

• Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
  • Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
  • Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
  • Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
  • Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

• Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
  • .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
  • .. installiere oder deinstalliere während der Bereinigung keine Software.
  • .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).

• Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
  • Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
  • Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.

Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.

Da ist ja schon ein bisschen was drauf..
Mach vom anderen Benutzerkonto nochmals einen OTL-Scan, dieses Mal aber für alle Benutzer:


Schritt 1

Starte bitte die OTL.exe.

• Setze den Haken bei Scan all Users.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von OTL

Hallo Leo,

schön das Du mir helfen wirst

Hier der scan:OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 05.02.2013 08:32:39 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Andrea\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
253,98 Mb Total Physical Memory | 34,92 Mb Available Physical Memory | 13,75% Memory free
624,82 Mb Paging File | 262,17 Mb Available in Paging File | 41,96% Paging File free
Paging file location(s): C:\pagefile.sys 384 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 18,55 Gb Free Space | 49,78% Space Free | Partition Type: NTFS
 
Computer Name: USER-7DF944BEE4 | User Name: Andrea | NOT logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.04 13:26:18 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andrea\Desktop\OTL.exe
PRC - [2012.09.12 17:19:44 | 000,947,176 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2010.05.14 10:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2004.09.14 09:00:00 | 000,118,784 | ---- | M] (WinZip Computing, Inc.) -- C:\Programme\WinZip\WZQKPICK.EXE
PRC - [2004.06.08 17:20:00 | 000,327,680 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
PRC - [2004.04.15 14:33:48 | 000,233,539 | ---- | M] (Marmiko IT-Solutions GmbH) -- C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2004.11.02 21:16:40 | 000,121,856 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2004.06.08 17:20:00 | 000,327,680 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
MOD - [2004.06.07 10:46:00 | 000,159,744 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\res.dll
MOD - [2004.06.04 12:52:00 | 000,077,824 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\iface.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Unknown] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.09.12 17:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) [Auto | Unknown] -- c:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2009.10.21 16:15:38 | 000,288,768 | ---- | M] (T-Systems International GmbH) [Auto | Unknown] -- C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe -- (DFSVC)
SRV - [2006.05.29 16:03:04 | 000,069,120 | ---- | M] (BOONTY) [On_Demand | Unknown] -- C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe -- (Boonty Games)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\XDva401.sys -- (XDva401)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Unknown] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\PROGRA~1\T-Online\T-DSLT~1\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | System | Unknown] -- C:\WINDOWS\system32\drivers\msbwatmr.sys -- (msbwatmr)
DRV - File not found [Kernel | System | Unknown] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Unknown] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Unknown] --  -- (Changer)
DRV - File not found [Kernel | System | Unknown] --  -- (Beep)
DRV - [2013.02.04 11:29:09 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\SFDRV01.SYS -- (sfdrv01)
DRV - [2011.06.02 10:08:34 | 000,011,336 | ---- | M] () [Kernel | On_Demand | Unknown] -- C:\Programme\SystemRequirementsLab\cpudrv.sys -- (cpudrv)
DRV - [2009.10.15 16:14:38 | 000,024,352 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\SipIMNDI.sys -- (SipIMNDI)
DRV - [2009.10.15 16:14:38 | 000,014,624 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand | Unknown] -- C:\Programme\T-Home\Dialerschutz-Software\DFSYS.sys -- (DFSYS)
DRV - [2006.03.13 10:38:23 | 000,006,656 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02)
DRV - [2005.12.10 12:50:44 | 000,001,792 | ---- | M] () [Kernel | Auto | Unknown] -- C:\WINDOWS\system32\drivers\zpmodemnt.sys -- (ZPMODEMSYSNTDRVNT)
DRV - [2005.11.03 15:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot | Unknown] -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02)
DRV - [2005.03.12 21:07:57 | 000,015,781 | ---- | M] (Meetinghouse Data Communications) [Kernel | Auto | Unknown] -- C:\WINDOWS\system32\drivers\mdc8021x.sys -- (MDC8021X)
DRV - [2004.08.04 16:19:30 | 000,099,476 | ---- | M] (Syntek Ltd.) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\STK013W2.sys -- (DCamUSBSTK013)
DRV - [2001.02.12 21:02:26 | 000,047,616 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\TDSLAdap.sys -- (TDSLAdapter)
DRV - [2001.02.12 21:02:26 | 000,006,688 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Unknown] -- C:\WINDOWS\system32\drivers\TDSLProt.sys -- (TDSLProtocol)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\BESITZ~1.USE\LOKALE~1\Temp\se.dll/sp.html
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
 
IE - HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-1614895754-1965331169-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\Andrea\LOKALE~1\Temp\se.dll/sp.html
IE - HKU\S-1-5-21-1614895754-1965331169-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = about:blank
IE - HKU\S-1-5-21-1614895754-1965331169-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
IE - HKU\S-1-5-21-1614895754-1965331169-839522115-1004\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
IE - HKU\S-1-5-21-1614895754-1965331169-839522115-1004\..\SearchScopes,DefaultScope = {F8B5795C-7318-46BE-862C-47FE2DE280B8}
IE - HKU\S-1-5-21-1614895754-1965331169-839522115-1004\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKU\S-1-5-21-1614895754-1965331169-839522115-1004\..\SearchScopes\{F8B5795C-7318-46BE-862C-47FE2DE280B8}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKU\S-1-5-21-1614895754-1965331169-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll File not found
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
 
O1 HOSTS File: ([2005.12.10 12:50:28 | 000,000,023 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1   localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-1965331169-839522115-1004\..\Toolbar\WebBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKU\S-1-5-21-1614895754-1965331169-839522115-1004\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [sp] rundll32 C:\DOKUME~1\BESITZ~1.USE\LOKALE~1\Temp\se.dll,DllInstall File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [T-Home Dialerschutz-Software] C:\Programme\T-Home\Dialerschutz-Software\Defender.exe (T-Systems International GmbH)
O4 - HKLM..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe (Marmiko IT-Solutions GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\STK013 PNP Monitor.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\S-1-5-21-1614895754-1965331169-839522115-1004\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe File not found
O9 - Extra 'Tools' menuitem : PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe File not found
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/templates/ieawsdc.cab (Microsoft Office Template and Media Control)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/8/b/d/8bd77752-5704-4d68-a152-f7252adaa4f2/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (BDSCANONLINE Control)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6087.cab (Windows Live Safety Center Base Module)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} hxxp://god.t-online.de/download/ExentCtl.ocx (ExentInf Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1359916086187 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.5.13.0.cab (SysInfo Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/html - No CLSID value found
O18 - Protocol\Filter\text/plain - No CLSID value found
O20 - AppInit_DLLs: (karna.dats\system3) -  File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - (igfxsrvc.dll) - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O27 - HKLM IFEO\chrome.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
O27 - HKLM IFEO\navigator.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
O27 - HKLM IFEO\opera.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
O27 - HKLM IFEO\safari.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.02.28 19:38:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.04 13:25:27 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andrea\Desktop\OTL.exe
[2013.02.03 19:37:34 | 000,051,200 | ---- | C] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\rpinjgdb.sys
[2013.02.03 02:52:37 | 000,000,000 | ---D | C] -- C:\Programme\SystemRequirementsLab
[2013.02.02 23:53:56 | 000,000,000 | ---D | C] -- C:\gamigo
[2013.02.02 21:11:59 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Client
[1999.03.11 18:22:04 | 000,099,840 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
[1998.12.09 03:53:54 | 000,186,368 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAREG.DLL
[1998.12.09 03:53:54 | 000,070,144 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
[1998.12.09 03:53:54 | 000,048,640 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
[1998.12.09 03:53:54 | 000,031,744 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
[1998.12.09 03:53:54 | 000,017,920 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.05 07:58:52 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2013.02.05 07:58:46 | 000,000,358 | -H-- | M] () -- C:\WINDOWS\tasks\MpIdleTask.job
[2013.02.05 07:48:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.02.04 19:47:45 | 000,000,650 | ---- | M] () -- C:\Dokumente und Einstellungen\Andrea\Desktop\Golfstar.lnk
[2013.02.04 13:37:45 | 000,365,568 | ---- | M] () -- C:\Dokumente und Einstellungen\Andrea\Desktop\gmer_2.0.18454.exe
[2013.02.04 13:26:18 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Andrea\Desktop\OTL.exe
[2013.02.04 13:23:22 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\Andrea\defogger_reenable
[2013.02.04 13:23:01 | 000,050,477 | ---- | M] () -- C:\Dokumente und Einstellungen\Andrea\Desktop\Defogger.exe
[2013.02.04 11:46:23 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\slpcsrj.pad
[2013.02.04 11:45:01 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.02.04 11:29:09 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\SFDRV01.SYS
[2013.02.03 19:37:34 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\rpinjgdb.sys
[2013.02.03 02:34:04 | 000,247,904 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.02.03 02:33:20 | 000,450,504 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.02.03 02:33:20 | 000,433,688 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.02.03 02:33:20 | 000,080,864 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.02.03 02:33:20 | 000,068,068 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.02.03 02:32:06 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013.02.02 21:53:11 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Adobe Reader 9.lnk
[2013.02.02 21:13:25 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.04 19:47:45 | 000,000,650 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Desktop\Golfstar.lnk
[2013.02.04 13:36:01 | 000,365,568 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Desktop\gmer_2.0.18454.exe
[2013.02.04 13:23:22 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\defogger_reenable
[2013.02.04 13:22:17 | 000,050,477 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Desktop\Defogger.exe
[2013.02.03 19:53:32 | 000,000,358 | -H-- | C] () -- C:\WINDOWS\tasks\MpIdleTask.job
[2013.02.03 17:42:33 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\slpcsrj.pad
[2013.02.02 21:49:09 | 000,002,347 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Adobe Reader 9.lnk
[2013.02.02 21:49:09 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Adobe Reader 9.lnk
[2013.02.02 21:23:33 | 000,000,386 | -H-- | C] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2013.02.02 21:13:25 | 000,001,912 | ---- | C] () -- C:\WINDOWS\epplauncher.mif
[2013.02.02 21:13:07 | 000,001,678 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Microsoft Security Essentials.lnk
[2008.11.12 11:07:58 | 000,019,973 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\xiny.inf
[2008.11.12 11:07:57 | 000,013,289 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\muta.inf
[2008.11.12 11:07:57 | 000,011,305 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\utyhumute.scr
[2008.03.14 10:11:24 | 000,000,664 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\d3d9caps.dat
[2005.03.26 14:04:50 | 000,003,584 | ---- | C] () -- C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2006.06.08 18:53:12 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2006.05.29 16:03:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BOONTY
[2007.11.26 23:54:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\HipSoft
[2009.03.06 18:42:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MumboJumbo
[2007.12.12 17:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PlayFirst
[2005.03.12 21:09:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Prism
[2005.04.20 07:51:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SBT
[2010.06.04 09:26:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online
[2010.03.17 23:50:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online_ZusatzSoftware
[2007.10.19 15:27:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
[2009.06.23 16:54:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zylom
[2008.07.02 07:58:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\ICQ
[2005.03.14 19:36:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\T-Online
[2013.02.04 12:54:16 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Andrea\Anwendungsdaten\Ubisoft
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 130 bytes -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP:A18D1A5B
@Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP:A3E39C6A
@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP:0778CBF2

< End of report >
         

--- --- ---


Lg Andrea

Hallo Andrea,

kannst du bitte mal versuchen, ob du dich mit dem betroffenen Benutzerkonto im abgesicherten Modus mit Netzwerktreiben einloggen kannst ohne den Sperrbildschirm? (Anleitung)

Falls das geht, dann mach bitte dort nochmals einen neuen OTL-Scan:

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

• Doppelklick auf die OTL.exe.
• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Huhu Leo,

konnte mich normal anmelden?!
Kein Vollbild mehr was blockierte.

Soll ich nochmal ganz raus und komplett neu hochfahren, da ich jetzt aus dem andern Benutzer gewechselt habe?OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 05.02.2013 11:50:20 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
253,98 Mb Total Physical Memory | 49,79 Mb Available Physical Memory | 19,60% Memory free
872,82 Mb Paging File | 429,09 Mb Available in Paging File | 49,16% Paging File free
Paging file location(s): C:\pagefile.sys 384 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 18,29 Gb Free Space | 49,08% Space Free | Partition Type: NTFS
 
Computer Name: USER-7DF944BEE4 | User Name: Besitzer | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.05 11:49:47 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\OTL.exe
PRC - [2012.09.12 17:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\MsMpEng.exe
PRC - [2012.09.12 17:19:44 | 000,947,176 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2010.05.14 10:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.10.21 16:15:38 | 000,288,768 | ---- | M] (T-Systems International GmbH) -- C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2004.09.14 09:00:00 | 000,118,784 | ---- | M] (WinZip Computing, Inc.) -- C:\Programme\WinZip\WZQKPICK.EXE
PRC - [2004.06.08 17:20:00 | 000,327,680 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
PRC - [2004.04.15 14:33:48 | 000,233,539 | ---- | M] (Marmiko IT-Solutions GmbH) -- C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
PRC - [1999.03.11 18:22:06 | 000,046,080 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2009.02.27 16:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2004.11.02 21:16:40 | 000,121,856 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2004.06.08 17:20:00 | 000,327,680 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
MOD - [2004.06.07 10:46:00 | 000,159,744 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\res.dll
MOD - [2004.06.04 12:52:00 | 000,077,824 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\iface.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.09.12 17:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2009.10.21 16:15:38 | 000,288,768 | ---- | M] (T-Systems International GmbH) [Auto | Running] -- C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe -- (DFSVC)
SRV - [2006.05.29 16:03:04 | 000,069,120 | ---- | M] (BOONTY) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe -- (Boonty Games)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\XDva401.sys -- (XDva401)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\T-Online\T-DSLT~1\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\msbwatmr.sys -- (msbwatmr)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | System | Stopped] --  -- (Beep)
DRV - [2013.02.05 09:37:24 | 000,029,904 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- c:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{2A991C87-2DB0-4284-A6D7-0E0EB892E1ED}\MpKsl5491215f.sys -- (MpKsl5491215f)
DRV - [2013.02.04 11:29:09 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\SFDRV01.SYS -- (sfdrv01)
DRV - [2011.06.02 10:08:34 | 000,011,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\SystemRequirementsLab\cpudrv.sys -- (cpudrv)
DRV - [2009.10.15 16:14:38 | 000,024,352 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SipIMNDI.sys -- (SipIMNDI)
DRV - [2009.10.15 16:14:38 | 000,014,624 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\T-Home\Dialerschutz-Software\DFSYS.sys -- (DFSYS)
DRV - [2006.03.13 10:38:23 | 000,006,656 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02)
DRV - [2005.12.10 12:50:44 | 000,001,792 | ---- | M] () [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\zpmodemnt.sys -- (ZPMODEMSYSNTDRVNT)
DRV - [2005.11.03 15:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02)
DRV - [2005.03.12 21:07:57 | 000,015,781 | ---- | M] (Meetinghouse Data Communications) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\mdc8021x.sys -- (MDC8021X)
DRV - [2004.08.04 16:19:30 | 000,099,476 | ---- | M] (Syntek Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\STK013W2.sys -- (DCamUSBSTK013)
DRV - [2001.02.12 21:02:26 | 000,047,616 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TDSLAdap.sys -- (TDSLAdapter)
DRV - [2001.02.12 21:02:26 | 000,006,688 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TDSLProt.sys -- (TDSLProtocol)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\BESITZ~1.USE\LOKALE~1\Temp\se.dll/sp.html
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Fixhomepage
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Google
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = Upgrade to Google Chrome
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Google
IE - HKCU\..\SearchScopes,DefaultScope = {752222CD-DB25-4386-A127-97D8AD232195}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src=IE-SearchBox&Form=IE8SRC
IE - HKCU\..\SearchScopes\{752222CD-DB25-4386-A127-97D8AD232195}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {c8810cc9-0aaa-4aed-8c67-b2b1918c1e08}:0.9.6
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll File not found
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
[2008.10.21 16:34:08 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Mozilla\Extensions
[2010.07.13 11:07:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Mozilla\Firefox\Profiles\toapyfth.default\extensions
[2008.10.21 16:42:43 | 000,000,000 | ---D | M] ("Travissimo") -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Mozilla\Firefox\Profiles\toapyfth.default\extensions\{c8810cc9-0aaa-4aed-8c67-b2b1918c1e08}
 
O1 HOSTS File: ([2005.12.10 12:50:28 | 000,000,023 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1   localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKLM\..\Toolbar: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - No CLSID value found.
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [sp] rundll32 C:\DOKUME~1\BESITZ~1.USE\LOKALE~1\Temp\se.dll,DllInstall File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [T-Home Dialerschutz-Software] C:\Programme\T-Home\Dialerschutz-Software\Defender.exe (T-Systems International GmbH)
O4 - HKLM..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe (Marmiko IT-Solutions GmbH)
O4 - HKCU..\Run: [{CE0D3A51-0191-428D-47E5-7AB3688BBA30}] "C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Fofeed\elmi.exe" File not found
O4 - HKCU..\Run: [BD]  File not found
O4 - HKCU..\Run: [brastk] C:\WINDOWS\system32\brastk.exe File not found
O4 - HKCU..\Run: [T-Online_Software_5\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized File not found
O4 - HKCU..\Run: [UnSpyPC] "C:\Programme\UnSpyPC\UnSpyPC.exe" File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\STK013 PNP Monitor.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoBandCustomize = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: ClassicShell = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: Wallpaper = C:\WINDOWS\desktop.html
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe File not found
O9 - Extra 'Tools' menuitem : PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe File not found
O15 - HKCU\..Trusted Domains: mobile.de ([www] https in Vertrauenswürdige Sites)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/templates/ieawsdc.cab (Microsoft Office Template and Media Control)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/8/b/d/8bd77752-5704-4d68-a152-f7252adaa4f2/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (BDSCANONLINE Control)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6087.cab (Windows Live Safety Center Base Module)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} hxxp://god.t-online.de/download/ExentCtl.ocx (ExentInf Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1359916086187 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.5.13.0.cab (SysInfo Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O18 - Protocol\Filter\text/html - No CLSID value found
O18 - Protocol\Filter\text/plain - No CLSID value found
O20 - AppInit_DLLs: (karna.dats\system3) -  File not found
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - (igfxsrvc.dll) - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O20 - Winlogon\Notify\WgaLogon: DllName - (Reg Error: Value error.) - Reg Error: Value error. File not found
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O27 - HKLM IFEO\chrome.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
O27 - HKLM IFEO\navigator.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
O27 - HKLM IFEO\opera.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
O27 - HKLM IFEO\safari.exe: Debugger - C:\Programme\Internet Explorer\iexplore.exe (Microsoft Corporation)
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.02.28 19:38:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.05 11:49:30 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\OTL.exe
[2013.02.03 19:37:34 | 000,051,200 | ---- | C] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\rpinjgdb.sys
[2013.02.03 02:52:37 | 000,000,000 | ---D | C] -- C:\Programme\SystemRequirementsLab
[2013.02.02 23:53:56 | 000,000,000 | ---D | C] -- C:\gamigo
[2013.02.02 21:13:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\PCHealth
[2013.02.02 21:11:59 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Client
[1999.03.11 18:22:04 | 000,099,840 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
[1998.12.09 03:53:54 | 000,186,368 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAREG.DLL
[1998.12.09 03:53:54 | 000,070,144 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
[1998.12.09 03:53:54 | 000,048,640 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
[1998.12.09 03:53:54 | 000,031,744 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
[1998.12.09 03:53:54 | 000,017,920 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.05 11:49:47 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\OTL.exe
[2013.02.05 07:58:52 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2013.02.05 07:58:46 | 000,000,358 | -H-- | M] () -- C:\WINDOWS\tasks\MpIdleTask.job
[2013.02.05 07:48:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.02.04 11:46:23 | 095,023,320 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\slpcsrj.pad
[2013.02.04 11:45:01 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.02.04 11:29:09 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\SFDRV01.SYS
[2013.02.03 19:37:34 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\rpinjgdb.sys
[2013.02.03 02:34:04 | 000,247,904 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.02.03 02:33:20 | 000,450,504 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.02.03 02:33:20 | 000,433,688 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.02.03 02:33:20 | 000,080,864 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.02.03 02:33:20 | 000,068,068 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.02.03 02:32:06 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013.02.03 00:02:43 | 000,000,650 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\Golfstar.lnk
[2013.02.02 21:53:11 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Adobe Reader 9.lnk
[2013.02.02 21:13:25 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\*.tmp files -> C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.03 19:53:32 | 000,000,358 | -H-- | C] () -- C:\WINDOWS\tasks\MpIdleTask.job
[2013.02.03 17:42:33 | 095,023,320 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\slpcsrj.pad
[2013.02.03 00:02:40 | 000,000,650 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\Golfstar.lnk
[2013.02.02 21:49:09 | 000,002,347 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Adobe Reader 9.lnk
[2013.02.02 21:49:09 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Adobe Reader 9.lnk
[2013.02.02 21:23:33 | 000,000,386 | -H-- | C] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2013.02.02 21:13:25 | 000,001,912 | ---- | C] () -- C:\WINDOWS\epplauncher.mif
[2013.02.02 21:13:07 | 000,001,678 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Microsoft Security Essentials.lnk
[2010.05.28 20:34:47 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\avdrn.dat
[2008.11.12 11:07:58 | 000,019,973 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\xiny.inf
[2008.11.12 11:07:57 | 000,013,289 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\muta.inf
[2008.11.12 11:07:57 | 000,011,934 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\igyj._dl
[2008.11.12 11:07:57 | 000,011,305 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\utyhumute.scr
[2008.11.12 11:07:56 | 000,012,441 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\agipyqubi._sy
[2008.11.12 11:07:56 | 000,010,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\kelyqimu.inf
[2005.03.14 18:43:55 | 000,013,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2006.06.08 18:53:12 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2006.05.29 16:03:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BOONTY
[2007.11.26 23:54:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\HipSoft
[2009.03.06 18:42:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MumboJumbo
[2007.12.12 17:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PlayFirst
[2005.03.12 21:09:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Prism
[2005.04.20 07:51:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SBT
[2010.06.04 09:26:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online
[2010.03.17 23:50:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online_ZusatzSoftware
[2007.10.19 15:27:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
[2009.06.23 16:54:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zylom
[2010.10.07 21:17:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\DynaGeo
[2010.07.13 17:51:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Fofeed
[2008.01.16 16:47:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\funkitron
[2010.07.09 09:46:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Goyd
[2010.06.24 18:23:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Huva
[2005.03.12 20:59:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\InterTrust
[2010.06.21 16:51:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Meug
[2007.12.12 17:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\PlayFirst
[2007.02.08 17:58:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\SecondLife
[2005.03.14 12:59:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\T-Online
[2009.03.07 17:36:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Zylom
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 130 bytes -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP:A18D1A5B
@Alternate Data Stream - 128 bytes -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP:A3E39C6A
@Alternate Data Stream - 104 bytes -> C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP:0778CBF2

< End of report >
         

--- --- ---

Noch eine Info für Dich.
Essentials hat einen Trojaner entdeckt und in Quarantäne geschoben:
Trojan:WIN/32Reveton.N

Lg Andrea

Hallo Andrea,

prima, wenn der Sperrbildschirm verschwunden ist, dann arbeite jetzt in diesem Benutzerkonto weiter.
Es sind doch einige Sachen zu sehen bei dir.. Mach mal so weiter:


Schritt 1

Lese bitte folgende Anweisungen genau. Wir wollen hier noch nichts "fixen" sondern nur einen Scan Report sehen.

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop.

• Starte die TDSSKiller.exe.
• Drücke Start Scan.
• Warnung: Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und speichere das Logfile.
• TDSSKiller wird ein Logfile auf deinem Systemlaufwerk speichern (C:\TDSSKiller.<version_date_time>log.txt).
• Poste bitte den Inhalt dieses Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Log von TDSSKiller

Moin Leo,

hier der log.

11:19:21.0125 0220 TDSS rootkit removing tool 2.8.15.0 Oct 31 2012 21:47:35
11:19:21.0328 0220 ============================================================
11:19:21.0328 0220 Current date / time: 2013/02/06 11:19:21.0328
11:19:21.0328 0220 SystemInfo:
11:19:21.0328 0220
11:19:21.0328 0220 OS Version: 5.1.2600 ServicePack: 3.0
11:19:21.0328 0220 Product type: Workstation
11:19:21.0328 0220 ComputerName: USER-7DF944BEE4
11:19:21.0328 0220 UserName: Besitzer
11:19:21.0328 0220 Windows directory: C:\WINDOWS
11:19:21.0328 0220 System windows directory: C:\WINDOWS
11:19:21.0328 0220 Processor architecture: Intel x86
11:19:21.0328 0220 Number of processors: 1
11:19:21.0328 0220 Page size: 0x1000
11:19:21.0328 0220 Boot type: Normal boot
11:19:21.0328 0220 ============================================================
11:19:27.0125 0220 Drive \Device\Harddisk0\DR0 - Size: 0x951240000 (37.27 Gb), SectorSize: 0x200, Cylinders: 0x1301, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
11:19:27.0234 0220 ============================================================
11:19:27.0234 0220 \Device\Harddisk0\DR0:
11:19:27.0234 0220 MBR partitions:
11:19:27.0234 0220 \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0x4A852C1
11:19:27.0234 0220 ============================================================
11:19:27.0265 0220 C: <-> \Device\Harddisk0\DR0\Partition1
11:19:27.0265 0220 ============================================================
11:19:27.0265 0220 Initialize success
11:19:27.0265 0220 ============================================================
11:19:33.0656 1684 ============================================================
11:19:33.0656 1684 Scan started
11:19:33.0656 1684 Mode: Manual;
11:19:33.0656 1684 ============================================================
11:19:34.0703 1684 ================ Scan system memory ========================
11:19:34.0703 1684 System memory - ok
11:19:34.0703 1684 ================ Scan services =============================
11:19:36.0125 1684 Abiosdsk - ok
11:19:36.0156 1684 abp480n5 - ok
11:19:36.0265 1684 [ AC407F1A62C3A300B4F2B5A9F1D55B2C ] ACPI C:\WINDOWS\system32\DRIVERS\ACPI.sys
11:19:36.0281 1684 ACPI - ok
11:19:36.0328 1684 [ 9E1CA3160DAFB159CA14F83B1E317F75 ] ACPIEC C:\WINDOWS\system32\drivers\ACPIEC.sys
11:19:36.0328 1684 ACPIEC - ok
11:19:36.0343 1684 adpu160m - ok
11:19:36.0437 1684 [ 3CB6AE5435987B1F8C83FD2730479878 ] aeaudio C:\WINDOWS\system32\drivers\aeaudio.sys
11:19:36.0453 1684 aeaudio - ok
11:19:36.0531 1684 [ 8BED39E3C35D6A489438B8141717A557 ] aec C:\WINDOWS\system32\drivers\aec.sys
11:19:36.0546 1684 aec - ok
11:19:36.0625 1684 [ 1E44BC1E83D8FD2305F8D452DB109CF9 ] AFD C:\WINDOWS\System32\drivers\afd.sys
11:19:36.0656 1684 AFD - ok
11:19:36.0671 1684 Aha154x - ok
11:19:36.0687 1684 aic78u2 - ok
11:19:36.0718 1684 aic78xx - ok
11:19:36.0781 1684 [ 738D80CC01D7BC7584BE917B7F544394 ] Alerter C:\WINDOWS\system32\alrsvc.dll
11:19:36.0781 1684 Alerter - ok
11:19:36.0828 1684 [ 190CD73D4984F94D823F9444980513E5 ] ALG C:\WINDOWS\System32\alg.exe
11:19:36.0828 1684 ALG - ok
11:19:36.0843 1684 AliIde - ok
11:19:36.0875 1684 amsint - ok
11:19:36.0890 1684 AppMgmt - ok
11:19:36.0906 1684 asc - ok
11:19:36.0937 1684 asc3350p - ok
11:19:36.0953 1684 asc3550 - ok
11:19:37.0093 1684 [ 0E5E4957549056E2BF2C49F4F6B601AD ] aspnet_state C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe
11:19:37.0515 1684 aspnet_state - ok
11:19:37.0593 1684 [ B153AFFAC761E7F5FCFA822B9C4E97BC ] AsyncMac C:\WINDOWS\system32\DRIVERS\asyncmac.sys
11:19:37.0609 1684 AsyncMac - ok
11:19:37.0671 1684 [ 9F3A2F5AA6875C72BF062C712CFA2674 ] atapi C:\WINDOWS\system32\DRIVERS\atapi.sys
11:19:37.0671 1684 atapi - ok
11:19:37.0703 1684 Atdisk - ok
11:19:37.0765 1684 [ 9916C1225104BA14794209CFA8012159 ] Atmarpc C:\WINDOWS\system32\DRIVERS\atmarpc.sys
11:19:37.0765 1684 Atmarpc - ok
11:19:37.0796 1684 [ 58ED0D5452DF7BE732193E7999C6B9A4 ] AudioSrv C:\WINDOWS\System32\audiosrv.dll
11:19:37.0828 1684 AudioSrv - ok
11:19:37.0890 1684 [ D9F724AA26C010A217C97606B160ED68 ] audstub C:\WINDOWS\system32\DRIVERS\audstub.sys
11:19:37.0921 1684 audstub - ok
11:19:37.0953 1684 Beep - ok
11:19:38.0109 1684 [ D6F603772A789BB3228F310D650B8BD1 ] BITS C:\WINDOWS\system32\qmgr.dll
11:19:38.0953 1684 BITS - ok
11:19:39.0046 1684 [ 683886EBAD79B765742E428FD9687E21 ] Boonty Games C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
11:19:39.0687 1684 Boonty Games - ok
11:19:39.0734 1684 [ B71549F23736ADF83A571061C47777FD ] Browser C:\WINDOWS\System32\browser.dll
11:19:39.0750 1684 Browser - ok
11:19:39.0796 1684 [ 90A673FC8E12A79AFBED2576F6A7AAF9 ] cbidf2k C:\WINDOWS\system32\drivers\cbidf2k.sys
11:19:39.0796 1684 cbidf2k - ok
11:19:39.0843 1684 [ 0BE5AEF125BE881C4F854C554F2B025C ] CCDECODE C:\WINDOWS\system32\DRIVERS\CCDECODE.sys
11:19:39.0859 1684 CCDECODE - ok
11:19:39.0875 1684 cd20xrnt - ok
11:19:39.0921 1684 [ C1B486A7658353D33A10CC15211A873B ] Cdaudio C:\WINDOWS\system32\drivers\Cdaudio.sys
11:19:39.0937 1684 Cdaudio - ok
11:19:39.0984 1684 [ C885B02847F5D2FD45A24E219ED93B32 ] Cdfs C:\WINDOWS\system32\drivers\Cdfs.sys
11:19:39.0984 1684 Cdfs - ok
11:19:40.0015 1684 [ 1F4260CC5B42272D71F79E570A27A4FE ] Cdrom C:\WINDOWS\system32\DRIVERS\cdrom.sys
11:19:40.0015 1684 Cdrom - ok
11:19:40.0046 1684 Changer - ok
11:19:40.0093 1684 [ 28E3040D1F1CA2008CD6B29DFEBC9A5E ] CiSvc C:\WINDOWS\system32\cisvc.exe
11:19:40.0093 1684 CiSvc - ok
11:19:40.0125 1684 [ 778A30ED3C134EB7E406AFC407E9997D ] ClipSrv C:\WINDOWS\system32\clipsrv.exe
11:19:40.0140 1684 ClipSrv - ok
11:19:40.0187 1684 [ D87ACAED61E417BBA546CED5E7E36D9C ] clr_optimization_v2.0.50727_32 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
11:19:40.0921 1684 clr_optimization_v2.0.50727_32 - ok
11:19:40.0937 1684 CmdIde - ok
11:19:40.0968 1684 COMSysApp - ok
11:19:41.0000 1684 Cpqarray - ok
11:19:41.0046 1684 [ D01F685F8B4598D144B0CCE9FF95D8D5 ] cpudrv C:\Programme\SystemRequirementsLab\cpudrv.sys
11:19:41.0062 1684 cpudrv - ok
11:19:41.0093 1684 [ 611F824E5C703A5A899F84C5F1699E4D ] CryptSvc C:\WINDOWS\System32\cryptsvc.dll
11:19:41.0109 1684 CryptSvc - ok
11:19:41.0125 1684 dac2w2k - ok
11:19:41.0140 1684 dac960nt - ok
11:19:41.0203 1684 [ 05CE58A2F1BB38281ED7128677AB22D1 ] DCamUSBSTK013 C:\WINDOWS\system32\DRIVERS\STK013W2.sys
11:19:41.0218 1684 DCamUSBSTK013 - ok
11:19:41.0328 1684 [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] DcomLaunch C:\WINDOWS\system32\rpcss.dll
11:19:41.0375 1684 DcomLaunch - ok
11:19:41.0515 1684 [ 6A7DBBF0DA2EA69F573FF86C6675FB7B ] DFSVC C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe
11:19:41.0546 1684 DFSVC - ok
11:19:41.0578 1684 [ EA29C804FCF6FED1F2F4F14BEC890DE0 ] DFSYS C:\Programme\T-Home\Dialerschutz-Software\DFSYS.SYS
11:19:41.0625 1684 DFSYS - ok
11:19:41.0687 1684 [ C29A1C9B75BA38FA37F8C44405DEC360 ] Dhcp C:\WINDOWS\System32\dhcpcsvc.dll
11:19:41.0687 1684 Dhcp - ok
11:19:41.0750 1684 [ 044452051F3E02E7963599FC8F4F3E25 ] Disk C:\WINDOWS\system32\DRIVERS\disk.sys
11:19:41.0750 1684 Disk - ok
11:19:41.0781 1684 dmadmin - ok
11:19:41.0890 1684 [ 0DCFC8395A99FECBB1EF771CEC7FE4EA ] dmboot C:\WINDOWS\system32\drivers\dmboot.sys
11:19:41.0953 1684 dmboot - ok
11:19:42.0000 1684 [ 53720AB12B48719D00E327DA470A619A ] dmio C:\WINDOWS\system32\drivers\dmio.sys
11:19:42.0000 1684 dmio - ok
11:19:42.0078 1684 [ E9317282A63CA4D188C0DF5E09C6AC5F ] dmload C:\WINDOWS\system32\drivers\dmload.sys
11:19:42.0093 1684 dmload - ok
11:19:42.0140 1684 [ 25C83FFBBA13B554EB6D59A9B2E2EE78 ] dmserver C:\WINDOWS\System32\dmserver.dll
11:19:42.0171 1684 dmserver - ok
11:19:42.0218 1684 [ 8A208DFCF89792A484E76C40E5F50B45 ] DMusic C:\WINDOWS\system32\drivers\DMusic.sys
11:19:42.0250 1684 DMusic - ok
11:19:42.0296 1684 [ 407F3227AC618FD1CA54B335B083DE07 ] Dnscache C:\WINDOWS\System32\dnsrslvr.dll
11:19:42.0296 1684 Dnscache - ok
11:19:42.0359 1684 [ 676E36C4FF5BCEA1900F44182B9723E6 ] Dot3svc C:\WINDOWS\System32\dot3svc.dll
11:19:42.0375 1684 Dot3svc - ok
11:19:42.0390 1684 dpti2o - ok
11:19:42.0437 1684 [ 8F5FCFF8E8848AFAC920905FBD9D33C8 ] drmkaud C:\WINDOWS\system32\drivers\drmkaud.sys
11:19:42.0453 1684 drmkaud - ok
11:19:42.0515 1684 [ 98B46B331404A951CABAD8B4877E1276 ] E100B C:\WINDOWS\system32\DRIVERS\e100b325.sys
11:19:42.0515 1684 E100B - ok
11:19:42.0593 1684 [ 4E4F2FDDAB0A0736D7671134DCCE91FB ] EapHost C:\WINDOWS\System32\eapsvc.dll
11:19:42.0609 1684 EapHost - ok
11:19:42.0656 1684 [ 877C18558D70587AA7823A1A308AC96B ] ERSvc C:\WINDOWS\System32\ersvc.dll
11:19:42.0656 1684 ERSvc - ok
11:19:42.0718 1684 [ A3EDBE9053889FB24AB22492472B39DC ] Eventlog C:\WINDOWS\system32\services.exe
11:19:42.0750 1684 Eventlog - ok
11:19:42.0796 1684 [ AF4F6B5739D18CA7972AB53E091CBC74 ] EventSystem C:\WINDOWS\system32\es.dll
11:19:42.0812 1684 EventSystem - ok
11:19:42.0875 1684 [ 38D332A6D56AF32635675F132548343E ] Fastfat C:\WINDOWS\system32\drivers\Fastfat.sys
11:19:42.0890 1684 Fastfat - ok
11:19:42.0937 1684 [ 2DB7D303C36DDD055215052F118E8E75 ] FastUserSwitchingCompatibility C:\WINDOWS\System32\shsvcs.dll
11:19:42.0968 1684 FastUserSwitchingCompatibility - ok
11:19:43.0000 1684 [ 92CDD60B6730B9F50F6A1A0C1F8CDC81 ] Fdc C:\WINDOWS\system32\DRIVERS\fdc.sys
11:19:43.0000 1684 Fdc - ok
11:19:43.0015 1684 [ B0678A548587C5F1967B0D70BACAD6C1 ] Fips C:\WINDOWS\system32\drivers\Fips.sys
11:19:43.0031 1684 Fips - ok
11:19:43.0078 1684 [ 9D27E7B80BFCDF1CDD9B555862D5E7F0 ] Flpydisk C:\WINDOWS\system32\DRIVERS\flpydisk.sys
11:19:43.0078 1684 Flpydisk - ok
11:19:43.0125 1684 [ B2CF4B0786F8212CB92ED2B50C6DB6B0 ] FltMgr C:\WINDOWS\system32\drivers\fltmgr.sys
11:19:43.0140 1684 FltMgr - ok
11:19:43.0250 1684 [ 8BA7C024070F2B7FDD98ED8A4BA41789 ] FontCache3.0.0.0 c:\WINDOWS\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
11:19:43.0265 1684 FontCache3.0.0.0 - ok
11:19:43.0328 1684 [ 3E1E2BD4F39B0E2B7DC4F4D2BCC2779A ] Fs_Rec C:\WINDOWS\system32\drivers\Fs_Rec.sys
11:19:43.0328 1684 Fs_Rec - ok
11:19:43.0359 1684 [ 8F1955CE42E1484714B542F341647778 ] Ftdisk C:\WINDOWS\system32\DRIVERS\ftdisk.sys
11:19:43.0390 1684 Ftdisk - ok
11:19:43.0437 1684 [ 0A02C63C8B144BD8C86B103DEE7C86A2 ] Gpc C:\WINDOWS\system32\DRIVERS\msgpc.sys
11:19:43.0437 1684 Gpc - ok
11:19:43.0531 1684 [ CB66BF85BF599BEFD6C6A57C2E20357F ] helpsvc C:\WINDOWS\PCHealth\HelpCtr\Binaries\pchsvc.dll
11:19:43.0531 1684 helpsvc - ok
11:19:43.0593 1684 [ B35DA85E60C0103F2E4104532DA2F12B ] HidServ C:\WINDOWS\System32\hidserv.dll
11:19:43.0593 1684 HidServ - ok
11:19:43.0640 1684 [ CCF82C5EC8A7326C3066DE870C06DAF1 ] HidUsb C:\WINDOWS\system32\DRIVERS\hidusb.sys
11:19:43.0640 1684 HidUsb - ok
11:19:43.0687 1684 [ ED29F14101523A6E0E808107405D452C ] hkmsvc C:\WINDOWS\System32\kmsvc.dll
11:19:43.0703 1684 hkmsvc - ok
11:19:43.0734 1684 hpn - ok
11:19:43.0796 1684 [ F80A415EF82CD06FFAF0D971528EAD38 ] HTTP C:\WINDOWS\system32\Drivers\HTTP.sys
11:19:43.0828 1684 HTTP - ok
11:19:43.0875 1684 [ 9E4ADB854CEBCFB81A4B36718FEECD16 ] HTTPFilter C:\WINDOWS\System32\w3ssl.dll
11:19:43.0953 1684 HTTPFilter - ok
11:19:43.0968 1684 i2omgmt - ok
11:19:44.0000 1684 i2omp - ok
11:19:44.0046 1684 [ E283B97CFBEB86C1D86BAED5F7846A92 ] i8042prt C:\WINDOWS\system32\DRIVERS\i8042prt.sys
11:19:44.0046 1684 i8042prt - ok
11:19:44.0218 1684 [ 44B7D5A4F2BD9FE21AEA0BB0BACE38C4 ] ialm C:\WINDOWS\system32\DRIVERS\ialmnt5.sys
11:19:44.0328 1684 ialm - ok
11:19:44.0906 1684 [ C01AC32DC5C03076CFB852CB5DA5229C ] idsvc c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe
11:19:45.0203 1684 idsvc - ok
11:19:45.0265 1684 [ 083A052659F5310DD8B6A6CB05EDCF8E ] Imapi C:\WINDOWS\system32\DRIVERS\imapi.sys
11:19:45.0281 1684 Imapi - ok
11:19:45.0421 1684 [ D4B413AA210C21E46AEDD2BA5B68D38E ] ImapiService C:\WINDOWS\system32\imapi.exe
11:19:45.0453 1684 ImapiService - ok
11:19:45.0484 1684 ini910u - ok
11:19:45.0531 1684 [ 69C4E3C9E67A1F103B94E14FDD5F3213 ] IntelIde C:\WINDOWS\system32\DRIVERS\intelide.sys
11:19:45.0531 1684 IntelIde - ok
11:19:45.0609 1684 [ 4C7D2750158ED6E7AD642D97BFFAE351 ] intelppm C:\WINDOWS\system32\DRIVERS\intelppm.sys
11:19:45.0625 1684 intelppm - ok
11:19:45.0671 1684 [ 3BB22519A194418D5FEC05D800A19AD0 ] Ip6Fw C:\WINDOWS\system32\drivers\ip6fw.sys
11:19:45.0687 1684 Ip6Fw - ok
11:19:45.0765 1684 [ 731F22BA402EE4B62748ADAF6363C182 ] IpFilterDriver C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
11:19:45.0796 1684 IpFilterDriver - ok
11:19:45.0828 1684 [ B87AB476DCF76E72010632B5550955F5 ] IpInIp C:\WINDOWS\system32\DRIVERS\ipinip.sys
11:19:45.0843 1684 IpInIp - ok
11:19:45.0937 1684 [ CC748EA12C6EFFDE940EE98098BF96BB ] IpNat C:\WINDOWS\system32\DRIVERS\ipnat.sys
11:19:45.0953 1684 IpNat - ok
11:19:46.0046 1684 [ 23C74D75E36E7158768DD63D92789A91 ] IPSec C:\WINDOWS\system32\DRIVERS\ipsec.sys
11:19:46.0062 1684 IPSec - ok
11:19:46.0140 1684 [ C93C9FF7B04D772627A3646D89F7BF89 ] IRENUM C:\WINDOWS\system32\DRIVERS\irenum.sys
11:19:46.0156 1684 IRENUM - ok
11:19:46.0203 1684 [ 6DFB88F64135C525433E87648BDA30DE ] isapnp C:\WINDOWS\system32\DRIVERS\isapnp.sys
11:19:46.0234 1684 isapnp - ok
11:19:46.0625 1684 [ 126A16F569122AE00AD3D12EF831D651 ] JavaQuickStarterService C:\Programme\Java\jre6\bin\jqs.exe
11:19:46.0687 1684 JavaQuickStarterService - ok
11:19:46.0734 1684 [ 1704D8C4C8807B889E43C649B478A452 ] Kbdclass C:\WINDOWS\system32\DRIVERS\kbdclass.sys
11:19:46.0750 1684 Kbdclass - ok
11:19:46.0812 1684 [ B6D6C117D771C98130497265F26D1882 ] kbdhid C:\WINDOWS\system32\DRIVERS\kbdhid.sys
11:19:46.0828 1684 kbdhid - ok
11:19:46.0921 1684 [ 692BCF44383D056AED41B045A323D378 ] kmixer C:\WINDOWS\system32\drivers\kmixer.sys
11:19:46.0937 1684 kmixer - ok
11:19:47.0015 1684 [ B467646C54CC746128904E1654C750C1 ] KSecDD C:\WINDOWS\system32\drivers\KSecDD.sys
11:19:47.0031 1684 KSecDD - ok
11:19:47.0093 1684 [ 2BBDCB79900990F0716DFCB714E72DE7 ] lanmanserver C:\WINDOWS\System32\srvsvc.dll
11:19:47.0125 1684 lanmanserver - ok
11:19:47.0250 1684 [ 1869B14B06B44B44AF70548E1EA3303F ] lanmanworkstation C:\WINDOWS\System32\wkssvc.dll
11:19:47.0296 1684 lanmanworkstation - ok
11:19:47.0328 1684 lbrtfdc - ok
11:19:47.0406 1684 [ 636714B7D43C8D0C80449123FD266920 ] LmHosts C:\WINDOWS\System32\lmhsvc.dll
11:19:47.0421 1684 LmHosts - ok
11:19:47.0484 1684 [ D7010580BF4E45D5E793A1FE75758C69 ] MDC8021X C:\WINDOWS\system32\DRIVERS\mdc8021x.sys
11:19:47.0515 1684 MDC8021X - ok
11:19:47.0578 1684 [ B7550A7107281D170CE85524B1488C98 ] Messenger C:\WINDOWS\System32\msgsvc.dll
11:19:47.0593 1684 Messenger - ok
11:19:47.0656 1684 [ 4AE068242760A1FB6E1A44BF4E16AFA6 ] mnmdd C:\WINDOWS\system32\drivers\mnmdd.sys
11:19:47.0656 1684 mnmdd - ok
11:19:47.0718 1684 [ C2F1D365FD96791B037EE504868065D3 ] mnmsrvc C:\WINDOWS\system32\mnmsrvc.exe
11:19:47.0765 1684 mnmsrvc - ok
11:19:47.0828 1684 [ 6FB74EBD4EC57A6F1781DE3852CC3362 ] Modem C:\WINDOWS\system32\drivers\Modem.sys
11:19:47.0875 1684 Modem - ok
11:19:47.0953 1684 [ B24CE8005DEAB254C0251E15CB71D802 ] Mouclass C:\WINDOWS\system32\DRIVERS\mouclass.sys
11:19:47.0953 1684 Mouclass - ok
11:19:48.0031 1684 [ 66A6F73C74E1791464160A7065CE711A ] mouhid C:\WINDOWS\system32\DRIVERS\mouhid.sys
11:19:48.0031 1684 mouhid - ok
11:19:48.0109 1684 [ A80B9A0BAD1B73637DBCBBA7DF72D3FD ] MountMgr C:\WINDOWS\system32\drivers\MountMgr.sys
11:19:48.0109 1684 MountMgr - ok
11:19:48.0203 1684 [ EE728AF83850DDAD9A3FCAC0AAB3AD97 ] MpFilter C:\WINDOWS\system32\DRIVERS\MpFilter.sys
11:19:48.0234 1684 MpFilter - ok
11:19:48.0531 1684 [ A69630D039C38018689190234F866D77 ] MpKsla6f7323c c:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{7D398DD1-A9FE-44E3-8E6B-5A76C2FA1CFE}\MpKsla6f7323c.sys
11:19:48.0531 1684 MpKsla6f7323c - ok
11:19:48.0562 1684 mraid35x - ok
11:19:48.0609 1684 [ 11D42BB6206F33FBB3BA0288D3EF81BD ] MRxDAV C:\WINDOWS\system32\DRIVERS\mrxdav.sys
11:19:48.0625 1684 MRxDAV - ok
11:19:48.0781 1684 [ 7D304A5EB4344EBEEAB53A2FE3FFB9F0 ] MRxSmb C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
11:19:48.0796 1684 MRxSmb - ok
11:19:48.0828 1684 msbwatmr - ok
11:19:48.0890 1684 [ 35A031AF38C55F92D28AA03EE9F12CC9 ] MSDTC C:\WINDOWS\system32\msdtc.exe
11:19:48.0890 1684 MSDTC - ok
11:19:48.0953 1684 [ C941EA2454BA8350021D774DAF0F1027 ] Msfs C:\WINDOWS\system32\drivers\Msfs.sys
11:19:48.0953 1684 Msfs - ok
11:19:48.0968 1684 MSIServer - ok
11:19:49.0000 1684 [ D1575E71568F4D9E14CA56B7B0453BF1 ] MSKSSRV C:\WINDOWS\system32\drivers\MSKSSRV.sys
11:19:49.0000 1684 MSKSSRV - ok
11:19:49.0078 1684 [ E077FCA2A7E79FB9BF67D3E30B5CE593 ] MsMpSvc c:\Programme\Microsoft Security Client\MsMpEng.exe
11:19:49.0109 1684 MsMpSvc - ok
11:19:49.0140 1684 [ 325BB26842FC7CCC1FCCE2C457317F3E ] MSPCLOCK C:\WINDOWS\system32\drivers\MSPCLOCK.sys
11:19:49.0140 1684 MSPCLOCK - ok
11:19:49.0187 1684 [ BAD59648BA099DA4A17680B39730CB3D ] MSPQM C:\WINDOWS\system32\drivers\MSPQM.sys
11:19:49.0187 1684 MSPQM - ok
11:19:49.0234 1684 [ AF5F4F3F14A8EA2C26DE30F7A1E17136 ] mssmbios C:\WINDOWS\system32\DRIVERS\mssmbios.sys
11:19:49.0265 1684 mssmbios - ok
11:19:49.0312 1684 [ E53736A9E30C45FA9E7B5EAC55056D1D ] MSTEE C:\WINDOWS\system32\drivers\MSTEE.sys
11:19:49.0328 1684 MSTEE - ok
11:19:49.0375 1684 [ DE6A75F5C270E756C5508D94B6CF68F5 ] Mup C:\WINDOWS\system32\drivers\Mup.sys
11:19:49.0406 1684 Mup - ok
11:19:49.0437 1684 [ 5B50F1B2A2ED47D560577B221DA734DB ] NABTSFEC C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys
11:19:49.0468 1684 NABTSFEC - ok
11:19:49.0546 1684 [ 46BB15AE2AC7D025D6D2567B876817BD ] napagent C:\WINDOWS\System32\qagentrt.dll
11:19:49.0578 1684 napagent - ok
11:19:49.0640 1684 [ 1DF7F42665C94B825322FAE71721130D ] NDIS C:\WINDOWS\system32\drivers\NDIS.sys
11:19:49.0671 1684 NDIS - ok
11:19:49.0718 1684 [ 7FF1F1FD8609C149AA432F95A8163D97 ] NdisIP C:\WINDOWS\system32\DRIVERS\NdisIP.sys
11:19:49.0718 1684 NdisIP - ok
11:19:49.0781 1684 [ 0109C4F3850DFBAB279542515386AE22 ] NdisTapi C:\WINDOWS\system32\DRIVERS\ndistapi.sys
11:19:49.0781 1684 NdisTapi - ok
11:19:49.0812 1684 [ F927A4434C5028758A842943EF1A3849 ] Ndisuio C:\WINDOWS\system32\DRIVERS\ndisuio.sys
11:19:49.0828 1684 Ndisuio - ok
11:19:49.0875 1684 [ EDC1531A49C80614B2CFDA43CA8659AB ] NdisWan C:\WINDOWS\system32\DRIVERS\ndiswan.sys
11:19:49.0875 1684 NdisWan - ok
11:19:49.0921 1684 [ 9282BD12DFB069D3889EB3FCC1000A9B ] NDProxy C:\WINDOWS\system32\drivers\NDProxy.sys
11:19:49.0921 1684 NDProxy - ok
11:19:49.0984 1684 [ 5D81CF9A2F1A3A756B66CF684911CDF0 ] NetBIOS C:\WINDOWS\system32\DRIVERS\netbios.sys
11:19:49.0984 1684 NetBIOS - ok
11:19:50.0031 1684 [ 74B2B2F5BEA5E9A3DC021D685551BD3D ] NetBT C:\WINDOWS\system32\DRIVERS\netbt.sys
11:19:50.0046 1684 NetBT - ok
11:19:50.0109 1684 [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDE C:\WINDOWS\system32\netdde.exe
11:19:50.0125 1684 NetDDE - ok
11:19:50.0156 1684 [ 8ACE4251BFFD09CE75679FE940E996CC ] NetDDEdsdm C:\WINDOWS\system32\netdde.exe
11:19:50.0156 1684 NetDDEdsdm - ok
11:19:50.0203 1684 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] Netlogon C:\WINDOWS\system32\lsass.exe
11:19:50.0203 1684 Netlogon - ok
11:19:50.0250 1684 [ E6D88F1F6745BF00B57E7855A2AB696C ] Netman C:\WINDOWS\System32\netman.dll
11:19:50.0296 1684 Netman - ok
11:19:50.0359 1684 [ D34612C5D02D026535B3095D620626AE ] NetTcpPortSharing c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe
11:19:50.0390 1684 NetTcpPortSharing - ok
11:19:50.0453 1684 [ F1B67B6B0751AE0E6E964B02821206A3 ] Nla C:\WINDOWS\System32\mswsock.dll
11:19:50.0484 1684 Nla - ok
11:19:50.0546 1684 [ 3182D64AE053D6FB034F44B6DEF8034A ] Npfs C:\WINDOWS\system32\drivers\Npfs.sys
11:19:50.0546 1684 Npfs - ok
11:19:50.0640 1684 [ 78A08DD6A8D65E697C18E1DB01C5CDCA ] Ntfs C:\WINDOWS\system32\drivers\Ntfs.sys
11:19:50.0671 1684 Ntfs - ok
11:19:50.0718 1684 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] NtLmSsp C:\WINDOWS\system32\lsass.exe
11:19:50.0718 1684 NtLmSsp - ok
11:19:50.0796 1684 [ 56AF4064996FA5BAC9C449B1514B4770 ] NtmsSvc C:\WINDOWS\system32\ntmssvc.dll
11:19:50.0828 1684 NtmsSvc - ok
11:19:50.0875 1684 [ 73C1E1F395918BC2C6DD67AF7591A3AD ] Null C:\WINDOWS\system32\drivers\Null.sys
11:19:50.0875 1684 Null - ok
11:19:50.0921 1684 [ B305F3FAD35083837EF46A0BBCE2FC57 ] NwlnkFlt C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
11:19:50.0937 1684 NwlnkFlt - ok
11:19:50.0968 1684 [ C99B3415198D1AAB7227F2C88FD664B9 ] NwlnkFwd C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
11:19:50.0968 1684 NwlnkFwd - ok
11:19:51.0015 1684 [ F84785660305B9B903FB3BCA8BA29837 ] Parport C:\WINDOWS\system32\DRIVERS\parport.sys
11:19:51.0031 1684 Parport - ok
11:19:51.0062 1684 [ BEB3BA25197665D82EC7065B724171C6 ] PartMgr C:\WINDOWS\system32\drivers\PartMgr.sys
11:19:51.0078 1684 PartMgr - ok
11:19:51.0125 1684 [ C2BF987829099A3EAA2CA6A0A90ECB4F ] ParVdm C:\WINDOWS\system32\drivers\ParVdm.sys
11:19:51.0140 1684 ParVdm - ok
11:19:51.0171 1684 PCANDIS5 - ok
11:19:51.0218 1684 [ 387E8DEDC343AA2D1EFBC30580273ACD ] PCI C:\WINDOWS\system32\DRIVERS\pci.sys
11:19:51.0234 1684 PCI - ok
11:19:51.0250 1684 PCIDump - ok
11:19:51.0265 1684 [ 59BA86D9A61CBCF4DF8E598C331F5B82 ] PCIIde C:\WINDOWS\system32\drivers\PCIIde.sys
11:19:51.0265 1684 PCIIde - ok
11:19:51.0312 1684 [ A2A966B77D61847D61A3051DF87C8C97 ] Pcmcia C:\WINDOWS\system32\drivers\Pcmcia.sys
11:19:51.0312 1684 Pcmcia - ok
11:19:51.0328 1684 PDCOMP - ok
11:19:51.0359 1684 PDFRAME - ok
11:19:51.0390 1684 PDRELI - ok
11:19:51.0406 1684 PDRFRAME - ok
11:19:51.0421 1684 perc2 - ok
11:19:51.0437 1684 perc2hib - ok
11:19:51.0515 1684 [ A3EDBE9053889FB24AB22492472B39DC ] PlugPlay C:\WINDOWS\system32\services.exe
11:19:51.0531 1684 PlugPlay - ok
11:19:51.0546 1684 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] PolicyAgent C:\WINDOWS\system32\lsass.exe
11:19:51.0546 1684 PolicyAgent - ok
11:19:51.0578 1684 [ EFEEC01B1D3CF84F16DDD24D9D9D8F99 ] PptpMiniport C:\WINDOWS\system32\DRIVERS\raspptp.sys
11:19:51.0593 1684 PptpMiniport - ok
11:19:51.0609 1684 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] ProtectedStorage C:\WINDOWS\system32\lsass.exe
11:19:51.0625 1684 ProtectedStorage - ok
11:19:51.0640 1684 [ 09298EC810B07E5D582CB3A3F9255424 ] PSched C:\WINDOWS\system32\DRIVERS\psched.sys
11:19:51.0640 1684 PSched - ok
11:19:51.0671 1684 [ 80D317BD1C3DBC5D4FE7B1678C60CADD ] Ptilink C:\WINDOWS\system32\DRIVERS\ptilink.sys
11:19:51.0671 1684 Ptilink - ok
11:19:51.0687 1684 ql1080 - ok
11:19:51.0718 1684 Ql10wnt - ok
11:19:51.0734 1684 ql12160 - ok
11:19:51.0750 1684 ql1240 - ok
11:19:51.0781 1684 ql1280 - ok
11:19:51.0828 1684 [ FE0D99D6F31E4FAD8159F690D68DED9C ] RasAcd C:\WINDOWS\system32\DRIVERS\rasacd.sys
11:19:51.0828 1684 RasAcd - ok
11:19:51.0875 1684 [ F5BA6CACCDB66C8F048E867563203246 ] RasAuto C:\WINDOWS\System32\rasauto.dll
11:19:51.0875 1684 RasAuto - ok
11:19:51.0921 1684 [ 11B4A627BC9614B885C4969BFA5FF8A6 ] Rasl2tp C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
11:19:51.0921 1684 Rasl2tp - ok
11:19:51.0984 1684 [ F9A7B66EA345726EDB5862A46B1ECCD5 ] RasMan C:\WINDOWS\System32\rasmans.dll
11:19:52.0000 1684 RasMan - ok
11:19:52.0031 1684 [ 5BC962F2654137C9909C3D4603587DEE ] RasPppoe C:\WINDOWS\system32\DRIVERS\raspppoe.sys
11:19:52.0031 1684 RasPppoe - ok
11:19:52.0062 1684 [ FDBB1D60066FCFBB7452FD8F9829B242 ] Raspti C:\WINDOWS\system32\DRIVERS\raspti.sys
11:19:52.0078 1684 Raspti - ok
11:19:52.0109 1684 [ 7AD224AD1A1437FE28D89CF22B17780A ] Rdbss C:\WINDOWS\system32\DRIVERS\rdbss.sys
11:19:52.0125 1684 Rdbss - ok
11:19:52.0156 1684 [ 4912D5B403614CE99C28420F75353332 ] RDPCDD C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
11:19:52.0171 1684 RDPCDD - ok
11:19:52.0265 1684 [ 43AF5212BD8FB5BA6EED9754358BD8F7 ] RDPWD C:\WINDOWS\system32\drivers\RDPWD.sys
11:19:52.0265 1684 RDPWD - ok
11:19:52.0328 1684 [ 263AF18AF0F3DB99F574C95F284CCEC9 ] RDSessMgr C:\WINDOWS\system32\sessmgr.exe
11:19:52.0328 1684 RDSessMgr - ok
11:19:52.0375 1684 [ ED761D453856F795A7FE056E42C36365 ] redbook C:\WINDOWS\system32\DRIVERS\redbook.sys
11:19:52.0375 1684 redbook - ok
11:19:52.0453 1684 [ 0E97EC96D6942CEEC2D188CC2EB69A01 ] RemoteAccess C:\WINDOWS\System32\mprdim.dll
11:19:52.0453 1684 RemoteAccess - ok
11:19:52.0484 1684 [ 2A02E21867497DF20B8FC95631395169 ] RpcLocator C:\WINDOWS\system32\locator.exe
11:19:52.0500 1684 RpcLocator - ok
11:19:52.0562 1684 [ 3127AFBF2C1ED0AB14A1BBB7AAECB85B ] RpcSs C:\WINDOWS\system32\rpcss.dll
11:19:52.0593 1684 RpcSs - ok
11:19:52.0671 1684 [ 4BDD71B4B521521499DFD14735C4F398 ] RSVP C:\WINDOWS\system32\rsvp.exe
11:19:52.0671 1684 RSVP - ok
11:19:52.0718 1684 [ AFB8261B56CBA0D86AEB6DF682AF9785 ] SamSs C:\WINDOWS\system32\lsass.exe
11:19:52.0718 1684 SamSs - ok
11:19:52.0781 1684 [ DCEC079FAD95D36C8DD5CB6D779DFE32 ] SCardSvr C:\WINDOWS\System32\SCardSvr.exe
11:19:52.0796 1684 SCardSvr - ok
11:19:52.0843 1684 [ A050194A44D7FA8D7186ED2F4E8367AE ] Schedule C:\WINDOWS\system32\schedsvc.dll
11:19:52.0875 1684 Schedule - ok
11:19:52.0921 1684 [ 90A3935D05B494A5A39D37E71F09A677 ] Secdrv C:\WINDOWS\system32\DRIVERS\secdrv.sys
11:19:52.0921 1684 Secdrv - ok
11:19:52.0937 1684 [ BEE4CFD1D48C23B44CF4B974B0B79B2B ] seclogon C:\WINDOWS\System32\seclogon.dll
11:19:52.0953 1684 seclogon - ok
11:19:52.0968 1684 [ 2AAC9B6ED9EDDFFB721D6452E34D67E3 ] SENS C:\WINDOWS\system32\sens.dll
11:19:52.0968 1684 SENS - ok
11:19:53.0031 1684 [ 0F29512CCD6BEAD730039FB4BD2C85CE ] serenum C:\WINDOWS\system32\DRIVERS\serenum.sys
11:19:53.0031 1684 serenum - ok
11:19:53.0062 1684 [ CF24EB4F0412C82BCD1F4F35A025E31D ] Serial C:\WINDOWS\system32\DRIVERS\serial.sys
11:19:53.0062 1684 Serial - ok
11:19:53.0156 1684 [ 9E7DEE11FD5A4355941A45F13C0ED59A ] sfdrv01 C:\WINDOWS\system32\DRIVERS\SFDRV01.SYS
11:19:53.0156 1684 sfdrv01 - ok
11:19:53.0203 1684 [ ECEFB59D2206D281E6D317AF0EA0D8BD ] sfhlp02 C:\WINDOWS\system32\drivers\sfhlp02.sys
11:19:53.0953 1684 sfhlp02 - ok
11:19:54.0000 1684 [ 8E6B8C671615D126FDC553D1E2DE5562 ] Sfloppy C:\WINDOWS\system32\drivers\Sfloppy.sys
11:19:54.0000 1684 Sfloppy - ok
11:19:54.0062 1684 [ D5A7E09D2C6A702809E49190D52ADC9F ] sfvfs02 C:\WINDOWS\system32\drivers\sfvfs02.sys
11:19:54.0781 1684 sfvfs02 - ok
11:19:54.0843 1684 [ CAD058D5F8B889A87CA3EB3CF624DCEF ] SharedAccess C:\WINDOWS\System32\ipnathlp.dll
11:19:54.0859 1684 SharedAccess - ok
11:19:54.0906 1684 [ 2DB7D303C36DDD055215052F118E8E75 ] ShellHWDetection C:\WINDOWS\System32\shsvcs.dll
11:19:54.0906 1684 ShellHWDetection - ok
11:19:54.0937 1684 Simbad - ok
11:19:54.0968 1684 [ 1644C3814E0DAE66CD68E39FFB97D869 ] SipIMNDI C:\WINDOWS\system32\DRIVERS\SipIMNDI.sys
11:19:56.0593 1684 SipIMNDI - ok
11:19:56.0671 1684 [ F07AF60B152221472FBDB2FECEC4896D ] SkypeUpdate C:\Programme\Skype\Updater\Updater.exe
11:19:56.0671 1684 SkypeUpdate - ok
11:19:56.0734 1684 [ 866D538EBE33709A5C9F5C62B73B7D14 ] SLIP C:\WINDOWS\system32\DRIVERS\SLIP.sys
11:19:56.0750 1684 SLIP - ok
11:19:56.0843 1684 [ 9B8AEED0DC8198EFB83D06BAF2FAB2E2 ] smwdm C:\WINDOWS\system32\drivers\smwdm.sys
11:19:56.0890 1684 smwdm - ok
11:19:56.0906 1684 Sparrow - ok
11:19:56.0953 1684 [ AB8B92451ECB048A4D1DE7C3FFCB4A9F ] splitter C:\WINDOWS\system32\drivers\splitter.sys
11:19:56.0953 1684 splitter - ok
11:19:57.0015 1684 [ 60784F891563FB1B767F70117FC2428F ] Spooler C:\WINDOWS\system32\spoolsv.exe
11:19:57.0015 1684 Spooler - ok
11:19:57.0078 1684 [ 50FA898F8C032796D3B1B9951BB5A90F ] sr C:\WINDOWS\system32\DRIVERS\sr.sys
11:19:57.0078 1684 sr - ok
11:19:57.0125 1684 [ FE77A85495065F3AD59C5C65B6C54182 ] srservice C:\WINDOWS\system32\srsvc.dll
11:19:57.0140 1684 srservice - ok
11:19:57.0234 1684 [ 47DDFC2F003F7F9F0592C6874962A2E7 ] Srv C:\WINDOWS\system32\DRIVERS\srv.sys
11:19:57.0265 1684 Srv - ok
11:19:57.0312 1684 [ 4DF5B05DFAEC29E13E1ED6F6EE12C500 ] SSDPSRV C:\WINDOWS\System32\ssdpsrv.dll
11:19:57.0328 1684 SSDPSRV - ok
11:19:57.0406 1684 [ BC2C5985611C5356B24AEB370953DED9 ] stisvc C:\WINDOWS\system32\wiaservc.dll
11:19:57.0421 1684 stisvc - ok
11:19:57.0484 1684 [ 77813007BA6265C4B6098187E6ED79D2 ] streamip C:\WINDOWS\system32\DRIVERS\StreamIP.sys
11:19:57.0484 1684 streamip - ok
11:19:57.0515 1684 [ 3941D127AEF12E93ADDF6FE6EE027E0F ] swenum C:\WINDOWS\system32\DRIVERS\swenum.sys
11:19:57.0531 1684 swenum - ok
11:19:57.0562 1684 [ 8CE882BCC6CF8A62F2B2323D95CB3D01 ] swmidi C:\WINDOWS\system32\drivers\swmidi.sys
11:19:57.0562 1684 swmidi - ok
11:19:57.0578 1684 SwPrv - ok
11:19:57.0609 1684 symc810 - ok
11:19:57.0640 1684 symc8xx - ok
11:19:57.0656 1684 sym_hi - ok
11:19:57.0687 1684 sym_u3 - ok
11:19:57.0734 1684 [ 8B83F3ED0F1688B4958F77CD6D2BF290 ] sysaudio C:\WINDOWS\system32\drivers\sysaudio.sys
11:19:57.0750 1684 sysaudio - ok
11:19:57.0796 1684 [ 2903FFFA2523926D6219428040DCE6B9 ] SysmonLog C:\WINDOWS\system32\smlogsvc.exe
11:19:57.0812 1684 SysmonLog - ok
11:19:57.0859 1684 [ 05903CAC4B98908D55EA5774775B382E ] TapiSrv C:\WINDOWS\System32\tapisrv.dll
11:19:57.0875 1684 TapiSrv - ok
11:19:57.0953 1684 [ 9AEFA14BD6B182D61E3119FA5F436D3D ] Tcpip C:\WINDOWS\system32\DRIVERS\tcpip.sys
11:19:57.0984 1684 Tcpip - ok
11:19:58.0031 1684 [ 6471A66807F5E104E4885F5B67349397 ] TDPIPE C:\WINDOWS\system32\drivers\TDPIPE.sys
11:19:58.0031 1684 TDPIPE - ok
11:19:58.0078 1684 [ E459470F8E5356AD1B15E8E9C803DD9F ] TDSLAdapter C:\WINDOWS\system32\DRIVERS\TDSLAdap.sys
11:19:58.0359 1684 TDSLAdapter - ok
11:19:58.0390 1684 [ 5CA87AEA02C49117802831F9AE890D22 ] TDSLProtocol C:\WINDOWS\system32\DRIVERS\TDSLProt.sys
11:19:58.0484 1684 TDSLProtocol - ok
11:19:58.0531 1684 [ C56B6D0402371CF3700EB322EF3AAF61 ] TDTCP C:\WINDOWS\system32\drivers\TDTCP.sys
11:19:58.0531 1684 TDTCP - ok
11:19:58.0578 1684 [ 88155247177638048422893737429D9E ] TermDD C:\WINDOWS\system32\DRIVERS\termdd.sys
11:19:58.0578 1684 TermDD - ok
11:19:58.0640 1684 [ B7DE02C863D8F5A005A7BF375375A6A4 ] TermService C:\WINDOWS\System32\termsrv.dll
11:19:58.0671 1684 TermService - ok
11:19:58.0718 1684 [ 2DB7D303C36DDD055215052F118E8E75 ] Themes C:\WINDOWS\System32\shsvcs.dll
11:19:58.0718 1684 Themes - ok
11:19:58.0750 1684 TosIde - ok
11:19:58.0781 1684 [ 626504572B175867F30F3215C04B3E2F ] TrkWks C:\WINDOWS\system32\trkwks.dll
11:19:58.0796 1684 TrkWks - ok
11:19:58.0843 1684 [ 5787B80C2E3C5E2F56C2A233D91FA2C9 ] Udfs C:\WINDOWS\system32\drivers\Udfs.sys
11:19:58.0843 1684 Udfs - ok
11:19:58.0875 1684 ultra - ok
11:19:58.0953 1684 [ 402DDC88356B1BAC0EE3DD1580C76A31 ] Update C:\WINDOWS\system32\DRIVERS\update.sys
11:19:58.0968 1684 Update - ok
11:19:59.0031 1684 [ 1DFD8975D8C89214B98D9387C1125B49 ] upnphost C:\WINDOWS\System32\upnphost.dll
11:19:59.0031 1684 upnphost - ok
11:19:59.0078 1684 [ 9B11E6118958E63E1FEF129466E2BDA7 ] UPS C:\WINDOWS\System32\ups.exe
11:19:59.0078 1684 UPS - ok
11:19:59.0125 1684 [ 173F317CE0DB8E21322E71B7E60A27E8 ] usbccgp C:\WINDOWS\system32\DRIVERS\usbccgp.sys
11:19:59.0125 1684 usbccgp - ok
11:19:59.0171 1684 [ 65DCF09D0E37D4C6B11B5B0B76D470A7 ] usbehci C:\WINDOWS\system32\DRIVERS\usbehci.sys
11:19:59.0171 1684 usbehci - ok
11:19:59.0234 1684 [ 1AB3CDDE553B6E064D2E754EFE20285C ] usbhub C:\WINDOWS\system32\DRIVERS\usbhub.sys
11:19:59.0234 1684 usbhub - ok
11:19:59.0312 1684 [ A717C8721046828520C9EDF31288FC00 ] usbprint C:\WINDOWS\system32\DRIVERS\usbprint.sys
11:19:59.0312 1684 usbprint - ok
11:19:59.0343 1684 [ A0B8CF9DEB1184FBDD20784A58FA75D4 ] usbscan C:\WINDOWS\system32\DRIVERS\usbscan.sys
11:19:59.0343 1684 usbscan - ok
11:19:59.0375 1684 [ A32426D9B14A089EAA1D922E0C5801A9 ] USBSTOR C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
11:19:59.0375 1684 USBSTOR - ok
11:19:59.0421 1684 [ 26496F9DEE2D787FC3E61AD54821FFE6 ] usbuhci C:\WINDOWS\system32\DRIVERS\usbuhci.sys
11:19:59.0421 1684 usbuhci - ok
11:19:59.0453 1684 [ 0D3A8FAFCEACD8B7625CD549757A7DF1 ] VgaSave C:\WINDOWS\System32\drivers\vga.sys
11:19:59.0453 1684 VgaSave - ok
11:19:59.0484 1684 ViaIde - ok
11:19:59.0515 1684 [ A5A712F4E880874A477AF790B5186E1D ] VolSnap C:\WINDOWS\system32\drivers\VolSnap.sys
11:19:59.0515 1684 VolSnap - ok
11:19:59.0578 1684 [ 68F106273BE29E7B7EF8266977268E78 ] VSS C:\WINDOWS\System32\vssvc.exe
11:19:59.0593 1684 VSS - ok
11:19:59.0656 1684 [ 7B353059E665F8B7AD2BBEAEF597CF45 ] W32Time C:\WINDOWS\system32\w32time.dll
11:19:59.0671 1684 W32Time - ok
11:19:59.0718 1684 [ E20B95BAEDB550F32DD489265C1DA1F6 ] Wanarp C:\WINDOWS\system32\DRIVERS\wanarp.sys
11:19:59.0718 1684 Wanarp - ok
11:19:59.0750 1684 WDICA - ok
11:19:59.0812 1684 [ 6768ACF64B18196494413695F0C3A00F ] wdmaud C:\WINDOWS\system32\drivers\wdmaud.sys
11:19:59.0812 1684 wdmaud - ok
11:19:59.0843 1684 [ 81727C9873E3905A2FFC1EBD07265002 ] WebClient C:\WINDOWS\System32\webclnt.dll
11:19:59.0843 1684 WebClient - ok
11:19:59.0937 1684 [ C51B4A5C05A5475708E3C81C7765B71D ] WmdmPmSN C:\WINDOWS\system32\MsPMSNSv.dll
11:19:59.0937 1684 WmdmPmSN - ok
11:20:00.0046 1684 [ 93908111BA57A6E60EC2FA2DE202105C ] WmiApSrv C:\WINDOWS\system32\wbem\wmiapsrv.exe
11:20:00.0046 1684 WmiApSrv - ok
11:20:00.0171 1684 [ BF05650BB7DF5E9EBDD25974E22403BB ] WMPNetworkSvc C:\Programme\Windows Media Player\WMPNetwk.exe
11:20:00.0218 1684 WMPNetworkSvc - ok
11:20:00.0281 1684 [ 300B3E84FAF1A5C1F791C159BA28035D ] wscsvc C:\WINDOWS\system32\wscsvc.dll
11:20:00.0312 1684 wscsvc - ok
11:20:00.0343 1684 [ C98B39829C2BBD34E454150633C62C78 ] WSTCODEC C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS
11:20:00.0343 1684 WSTCODEC - ok
11:20:00.0390 1684 [ 7B4FE05202AA6BF9F4DFD0E6A0D8A085 ] wuauserv C:\WINDOWS\system32\wuauserv.dll
11:20:00.0390 1684 wuauserv - ok
11:20:00.0453 1684 [ F15FEAFFFBB3644CCC80C5DA584E6311 ] WudfPf C:\WINDOWS\system32\DRIVERS\WudfPf.sys
11:20:00.0453 1684 WudfPf - ok
11:20:00.0500 1684 [ 28B524262BCE6DE1F7EF9F510BA3985B ] WudfRd C:\WINDOWS\system32\DRIVERS\wudfrd.sys
11:20:00.0500 1684 WudfRd - ok
11:20:00.0546 1684 [ 05231C04253C5BC30B26CBAAE680ED89 ] WudfSvc C:\WINDOWS\System32\WUDFSvc.dll
11:20:00.0546 1684 WudfSvc - ok
11:20:00.0625 1684 [ C4F109C005F6725162D2D12CA751E4A7 ] WZCSVC C:\WINDOWS\System32\wzcsvc.dll
11:20:00.0656 1684 WZCSVC - ok
11:20:00.0687 1684 XDva401 - ok
11:20:00.0750 1684 [ 0ADA34871A2E1CD2CAAFED1237A47750 ] xmlprov C:\WINDOWS\System32\xmlprov.dll
11:20:00.0765 1684 xmlprov - ok
11:20:00.0812 1684 [ D6D9858ACBCC1A80B8DFC37AF8E1F7A5 ] ZPMODEMSYSNTDRVNT C:\WINDOWS\system32\drivers\zpmodemnt.sys
11:20:00.0812 1684 ZPMODEMSYSNTDRVNT - ok
11:20:00.0890 1684 [ 1A301C3C65A3D119803FBAC5AB65897F ] {6080A529-897E-4629-A488-ABA0C29B635E} C:\WINDOWS\system32\drivers\ialmsbw.sys
11:20:00.0906 1684 {6080A529-897E-4629-A488-ABA0C29B635E} - ok
11:20:00.0968 1684 [ 4AFEE4B1625D5146B16526E48953D7A6 ] {D31A0762-0CEB-444e-ACFF-B049A1F6FE91} C:\WINDOWS\system32\drivers\ialmkchw.sys
11:20:00.0984 1684 {D31A0762-0CEB-444e-ACFF-B049A1F6FE91} - ok
11:20:01.0000 1684 ================ Scan global ===============================
11:20:01.0062 1684 [ 2C60091CA5F67C3032EAB3B30390C27F ] C:\WINDOWS\system32\basesrv.dll
11:20:01.0187 1684 [ A28CE25B59C90E12743001A1F2AE3613 ] C:\WINDOWS\system32\winsrv.dll
11:20:01.0265 1684 [ A28CE25B59C90E12743001A1F2AE3613 ] C:\WINDOWS\system32\winsrv.dll
11:20:01.0312 1684 [ A3EDBE9053889FB24AB22492472B39DC ] C:\WINDOWS\system32\services.exe
11:20:01.0328 1684 [Global] - ok
11:20:01.0328 1684 ================ Scan MBR ==================================
11:20:01.0359 1684 [ 72B8CE41AF0DE751C946802B3ED844B4 ] \Device\Harddisk0\DR0
11:20:02.0578 1684 \Device\Harddisk0\DR0 - ok
11:20:02.0578 1684 ================ Scan VBR ==================================
11:20:02.0593 1684 [ 892D4F84096D3BA8663ECED96C94CE74 ] \Device\Harddisk0\DR0\Partition1
11:20:02.0593 1684 \Device\Harddisk0\DR0\Partition1 - ok
11:20:02.0593 1684 ============================================================
11:20:02.0593 1684 Scan finished
11:20:02.0593 1684 ============================================================
11:20:02.0625 1496 Detected object count: 0
11:20:02.0625 1496 Actual detected object count: 0
11:21:44.0000 0856 Deinitialize success


Lg Andrea

Hallo Andrea,

ok, dann machen wir so weiter:


Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

• Schliesse alle offenen Programme und Browser.
• Starte die adwcleaner.exe mit einem Doppelklick.
• Klicke auf Löschen.
• Bestätige jeweils mit Ok.
• Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
• Poste mir den Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link.

• WICHTIG: Speichere Combofix auf deinen Desktop.
• Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
• Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
• Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
  Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
  Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
  Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
  Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
• Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
• Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
• Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.



Bitte poste in deiner nächsten Antwort:

• Log von AdwCleaner
• Log von Combofix

Ooooook hat bischen gedauert...
der scan mit combo lief ne ganze Weile.

AdwCleaner Logfile:

Code: Alles auswählenAufklappen

ATTFilter

# AdwCleaner v2.111 - Datei am 06/02/2013 um 12:25:19 erstellt
# Aktualisiert am 05/02/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : Besitzer - USER-7DF944BEE4
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Trymedia
Ordner Gelöscht : C:\Programme\Trymedia

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094

***** [Internet Browser] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v [Version kann nicht ermittelt werden]

*************************

AdwCleaner[S1].txt - [953 octets] - [06/02/2013 12:25:19]

########## EOF - C:\AdwCleaner[S1].txt - [1012 octets] ##########
         

--- --- ---




Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 13-02-03.03 - Besitzer 06.02.2013  13:14:27.1.1 - x86
ausgeführt von:: c:\dokumente und einstellungen\Besitzer.USER-7DF944BEE4\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\slpcsrj.pad
c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
c:\dokumente und einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Fofeed\elmi.exe
c:\dokumente und einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\uns.tmp
c:\dokumente und einstellungen\Besitzer.USER-7DF944BEE4\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\lowsec
c:\windows\system32\lowsec\local(10)(2)(2).ds
c:\windows\system32\lowsec\local(10)(2).ds
c:\windows\system32\lowsec\local(10)(3).ds
c:\windows\system32\lowsec\local(11)(2)(2).ds
c:\windows\system32\lowsec\local(11)(2).ds
c:\windows\system32\lowsec\local(11)(3).ds
c:\windows\system32\lowsec\local(12)(2)(2).ds
c:\windows\system32\lowsec\local(12)(2).ds
c:\windows\system32\lowsec\local(12)(3).ds
c:\windows\system32\lowsec\local(13)(2).ds
c:\windows\system32\lowsec\local(14)(2).ds
c:\windows\system32\lowsec\local(15)(2).ds
c:\windows\system32\lowsec\local(16)(2).ds
c:\windows\system32\lowsec\local(17)(2).ds
c:\windows\system32\lowsec\local(18)(2).ds
c:\windows\system32\lowsec\local(2)(2)(2).ds
c:\windows\system32\lowsec\local(2)(2)(3).ds
c:\windows\system32\lowsec\local(2)(2).ds
c:\windows\system32\lowsec\local(2)(3)(2).ds
c:\windows\system32\lowsec\local(2)(3).ds
c:\windows\system32\lowsec\local(2)(4).ds
c:\windows\system32\lowsec\local(3)(2)(2).ds
c:\windows\system32\lowsec\local(3)(2)(3).ds
c:\windows\system32\lowsec\local(3)(2).ds
c:\windows\system32\lowsec\local(3)(3)(2).ds
c:\windows\system32\lowsec\local(3)(3).ds
c:\windows\system32\lowsec\local(3)(4).ds
c:\windows\system32\lowsec\local(4)(2)(2).ds
c:\windows\system32\lowsec\local(4)(2)(3).ds
c:\windows\system32\lowsec\local(4)(2).ds
c:\windows\system32\lowsec\local(4)(3)(2).ds
c:\windows\system32\lowsec\local(4)(3).ds
c:\windows\system32\lowsec\local(4)(4).ds
c:\windows\system32\lowsec\local(5)(2)(2).ds
c:\windows\system32\lowsec\local(5)(2)(3).ds
c:\windows\system32\lowsec\local(5)(2).ds
c:\windows\system32\lowsec\local(5)(3)(2).ds
c:\windows\system32\lowsec\local(5)(3).ds
c:\windows\system32\lowsec\local(5)(4).ds
c:\windows\system32\lowsec\local(6)(2)(2).ds
c:\windows\system32\lowsec\local(6)(2)(3).ds
c:\windows\system32\lowsec\local(6)(2).ds
c:\windows\system32\lowsec\local(6)(3)(2).ds
c:\windows\system32\lowsec\local(6)(3).ds
c:\windows\system32\lowsec\local(6)(4).ds
c:\windows\system32\lowsec\local(7)(2)(2).ds
c:\windows\system32\lowsec\local(7)(2).ds
c:\windows\system32\lowsec\local(7)(3).ds
c:\windows\system32\lowsec\local(8)(2)(2).ds
c:\windows\system32\lowsec\local(8)(2).ds
c:\windows\system32\lowsec\local(8)(3).ds
c:\windows\system32\lowsec\local(9)(2)(2).ds
c:\windows\system32\lowsec\local(9)(2).ds
c:\windows\system32\lowsec\local(9)(3).ds
c:\windows\system32\lowsec\user(10)(2)(2).ds
c:\windows\system32\lowsec\user(10)(2).ds
c:\windows\system32\lowsec\user(10)(3).ds
c:\windows\system32\lowsec\user(11)(2)(2).ds
c:\windows\system32\lowsec\user(11)(2).ds
c:\windows\system32\lowsec\user(11)(3).ds
c:\windows\system32\lowsec\user(12)(2).ds
c:\windows\system32\lowsec\user(13)(2).ds
c:\windows\system32\lowsec\user(14)(2).ds
c:\windows\system32\lowsec\user(15)(2).ds
c:\windows\system32\lowsec\user(2)(2)(2).ds
c:\windows\system32\lowsec\user(2)(2).ds
c:\windows\system32\lowsec\user(2)(3)(2).ds
c:\windows\system32\lowsec\user(2)(3).ds
c:\windows\system32\lowsec\user(2)(4)(2).ds
c:\windows\system32\lowsec\user(2)(4).ds
c:\windows\system32\lowsec\user(2)(5)(2).ds
c:\windows\system32\lowsec\user(2)(5).ds
c:\windows\system32\lowsec\user(2)(6).ds
c:\windows\system32\lowsec\user(2)(7).ds
c:\windows\system32\lowsec\user(3)(2)(2).ds
c:\windows\system32\lowsec\user(3)(2)(3).ds
c:\windows\system32\lowsec\user(3)(2).ds
c:\windows\system32\lowsec\user(3)(3)(2).ds
c:\windows\system32\lowsec\user(3)(3).ds
c:\windows\system32\lowsec\user(3)(4)(2).ds
c:\windows\system32\lowsec\user(3)(4).ds
c:\windows\system32\lowsec\user(3)(5).ds
c:\windows\system32\lowsec\user(3)(6).ds
c:\windows\system32\lowsec\user(4)(2)(2).ds
c:\windows\system32\lowsec\user(4)(2)(3).ds
c:\windows\system32\lowsec\user(4)(2).ds
c:\windows\system32\lowsec\user(4)(3)(2).ds
c:\windows\system32\lowsec\user(4)(3).ds
c:\windows\system32\lowsec\user(5)(2)(2).ds
c:\windows\system32\lowsec\user(5)(2)(3).ds
c:\windows\system32\lowsec\user(5)(2).ds
c:\windows\system32\lowsec\user(5)(3)(2).ds
c:\windows\system32\lowsec\user(5)(3).ds
c:\windows\system32\lowsec\user(6)(2)(2).ds
c:\windows\system32\lowsec\user(6)(2).ds
c:\windows\system32\lowsec\user(6)(3).ds
c:\windows\system32\lowsec\user(7)(2)(2).ds
c:\windows\system32\lowsec\user(7)(2).ds
c:\windows\system32\lowsec\user(7)(3).ds
c:\windows\system32\lowsec\user(8)(2)(2).ds
c:\windows\system32\lowsec\user(8)(2).ds
c:\windows\system32\lowsec\user(8)(3).ds
c:\windows\system32\lowsec\user(9)(2)(2).ds
c:\windows\system32\lowsec\user(9)(2).ds
c:\windows\system32\lowsec\user(9)(3).ds
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-01-06 bis 2013-02-06  ))))))))))))))))))))))))))))))
.
.
2013-02-05 21:53 . 2012-03-01 11:00	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2013-02-05 21:50 . 2013-01-18 11:17	6991832	----a-w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{7D398DD1-A9FE-44E3-8E6B-5A76C2FA1CFE}\mpengine.dll
2013-02-05 21:44 . 2013-02-05 21:44	--------	d-----w-	c:\dokumente und einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\PCHealth
2013-02-05 16:22 . 2013-02-05 16:22	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2013-02-05 12:21 . 2010-09-18 06:52	953856	-c----w-	c:\windows\system32\dllcache\mfc40u.dll
2013-02-05 12:19 . 2010-08-23 16:11	617472	-c----w-	c:\windows\system32\dllcache\comctl32.dll
2013-02-05 12:18 . 2010-06-14 14:31	744448	-c----w-	c:\windows\system32\dllcache\helpsvc.exe
2013-02-05 12:18 . 2010-11-02 15:17	40960	-c----w-	c:\windows\system32\dllcache\ndproxy.sys
2013-02-05 12:13 . 2012-05-28 18:16	536576	-c----w-	c:\windows\system32\dllcache\msado15.dll
2013-02-05 12:12 . 2011-04-21 13:37	105472	-c----w-	c:\windows\system32\dllcache\mup.sys
2013-02-05 12:09 . 2012-07-04 14:05	139784	-c----w-	c:\windows\system32\dllcache\rdpwd.sys
2013-02-05 12:03 . 2011-07-08 14:02	10496	-c----w-	c:\windows\system32\dllcache\ndistapi.sys
2013-02-05 12:00 . 2010-10-11 14:59	45568	-c----w-	c:\windows\system32\dllcache\wab.exe
2013-02-03 18:37 . 2013-02-03 18:37	51200	----a-w-	c:\windows\system32\drivers\rpinjgdb.sys
2013-02-03 02:10 . 2005-06-21 15:49	167936	----a-w-	c:\windows\system32\igfxres.dll
2013-02-03 01:52 . 2013-02-03 01:52	--------	d-----w-	c:\programme\SystemRequirementsLab
2013-02-03 01:43 . 2013-02-03 01:43	697864	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-03 01:43 . 2013-02-03 01:43	74248	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-03 01:25 . 2012-12-16 12:23	290560	-c----w-	c:\windows\system32\dllcache\atmfd.dll
2013-02-02 22:53 . 2013-02-02 22:53	--------	d-----w-	C:\gamigo
2013-02-02 20:24 . 2013-01-30 10:53	232336	------w-	c:\windows\system32\MpSigStub.exe
2013-02-02 20:20 . 2013-01-18 11:17	6991832	----a-w-	c:\dokumente und einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-02-02 20:13 . 2013-02-02 20:13	--------	d-----w-	c:\dokumente und einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\PCHealth
2013-02-02 20:11 . 2013-02-02 20:13	--------	d-----w-	c:\programme\Microsoft Security Client
2013-02-02 19:59 . 2008-04-14 02:22	21504	-c--a-w-	c:\windows\system32\dllcache\hidserv.dll
2013-02-02 19:59 . 2008-04-14 02:22	21504	----a-w-	c:\windows\system32\hidserv.dll
2013-02-02 19:59 . 2001-08-18 03:22	12288	-c--a-w-	c:\windows\system32\dllcache\mouhid.sys
2013-02-02 19:59 . 2001-08-18 03:22	12288	----a-w-	c:\windows\system32\drivers\mouhid.sys
2013-02-02 19:58 . 2008-04-14 01:58	14720	-c--a-w-	c:\windows\system32\dllcache\kbdhid.sys
2013-02-02 19:58 . 2008-04-14 01:58	14720	----a-w-	c:\windows\system32\drivers\kbdhid.sys
2013-02-02 19:58 . 2008-04-13 18:45	10368	-c--a-w-	c:\windows\system32\dllcache\hidusb.sys
2013-02-02 19:58 . 2008-04-13 18:45	10368	----a-w-	c:\windows\system32\drivers\hidusb.sys
2013-02-02 19:58 . 2008-04-13 18:45	32128	-c--a-w-	c:\windows\system32\dllcache\usbccgp.sys
2013-02-02 19:58 . 2008-04-13 18:45	32128	----a-w-	c:\windows\system32\drivers\usbccgp.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-04 10:29 . 2006-03-26 12:22	51200	----a-w-	c:\windows\system32\drivers\SFDRV01.SYS
2012-12-16 12:23 . 2004-08-04 12:00	290560	----a-w-	c:\windows\system32\atmfd.dll
2012-11-13 11:55 . 2004-08-04 12:00	1866496	----a-w-	c:\windows\system32\win32k.sys
2008-11-12 10:07 . 2008-11-12 10:07	11305	----a-w-	c:\programme\Gemeinsame Dateien\utyhumute.scr
1999-03-11 17:22 . 1999-03-11 17:22	99840	----a-w-	c:\programme\Gemeinsame Dateien\IRAABOUT.DLL
1998-12-09 02:53 . 1998-12-09 02:53	70144	----a-w-	c:\programme\Gemeinsame Dateien\IRAMDMTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53	48640	----a-w-	c:\programme\Gemeinsame Dateien\IRALPTTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53	31744	----a-w-	c:\programme\Gemeinsame Dateien\IRAWEBTR.DLL
1998-12-09 02:53 . 1998-12-09 02:53	186368	----a-w-	c:\programme\Gemeinsame Dateien\IRAREG.DLL
1998-12-09 02:53 . 1998-12-09 02:53	17920	----a-w-	c:\programme\Gemeinsame Dateien\IRASRIAL.DLL
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-06-21 126976]
"T-Home Dialerschutz-Software"="c:\programme\T-Home\Dialerschutz-Software\Defender.exe" [2009-11-09 1415264]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-05-14 248552]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-06-21 155648]
"ToADiMon.exe"="c:\programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe" [2004-04-15 233539]
"MSC"="c:\programme\Microsoft Security Client\msseces.exe" [2012-09-12 947176]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-12-19 41208]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-02 946352]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="c:\progra~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-02-26 437160]
.
c:\dokumente und einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
STK013 PNP Monitor.lnk - c:\programme\STK013\STK013M.exe [N/A]
Symantec Fax Starter Edition-Anschluss.lnk - c:\programme\Microsoft Office\Office\1031\OLFSNT40.EXE [1999-3-11 46080]
T-Com WLAN Manager.lnk - c:\programme\T-Com\Sinus 154 data II\TS154USB.exe [2004-6-8 327680]
WinZip Quick Pick.lnk - c:\programme\WinZip\WZQKPICK.EXE [2006-1-3 118784]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\gamigo\\Golfstar\\GolfStarPatcherLoader.exe"=
"c:\\gamigo\\Golfstar\\GolfStar.exe"=
"c:\\gamigo\\Golfstar\\GolfStarPatcher.exe"=
.
R1 msbwatmr;msbwatmr;c:\windows\system32\drivers\msbwatmr.sys [x]
R2 SkypeUpdate;Skype Updater;c:\programme\Skype\Updater\Updater.exe [x]
R2 ZPMODEMSYSNTDRVNT;ZPMODEMSYSNTDRVNT;c:\windows\system32\drivers\zpmodemnt.sys [x]
R3 cpudrv;cpudrv;c:\programme\SystemRequirementsLab\cpudrv.sys [x]
R3 DCamUSBSTK013;STK013 Camera;c:\windows\system32\DRIVERS\STK013W2.sys [x]
R3 DFSYS;T-Home Dialerschutz Hooking Treiber;c:\programme\T-Home\Dialerschutz-Software\DFSYS.SYS [x]
R3 TDSLProtocol;T-DSL-Protocol  (T-Online);c:\windows\system32\DRIVERS\TDSLProt.sys [x]
R3 XDva401;XDva401;c:\windows\system32\XDva401.sys [x]
S2 DFSVC;T-Home Dialerschutz Dienst;c:\programme\T-Home\Dialerschutz-Software\DFInject.exe [x]
S3 SipIMNDI;T-Home Dialerschutz VoIP Service;c:\windows\system32\DRIVERS\SipIMNDI.sys [x]
S3 TDSLAdapter;T-DSL-Adapter (T-Online);c:\windows\system32\DRIVERS\TDSLAdap.sys [x]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - WINMGMT
*NewlyCreated* - WS2IFSL
.
Inhalt des "geplante Tasks" Ordners
.
2013-02-06 c:\windows\Tasks\Microsoft Antimalware Scheduled Scan.job
- c:\programme\Microsoft Security Client\MpCmdRun.exe [2012-09-12 16:25]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
mSearch Bar = res://c:\dokume~1\BESITZ~1.USE\LOKALE~1\Temp\se.dll/sp.html
uInternet Connection Wizard,ShellNext = iexplore
uSearchAssistant = hxxp://www.google.com
Trusted Zone: mobile.de\www
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-T-Online_Software_5\WLAN-Access Finder - c:\programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
HKCU-Run-UnSpyPC - c:\programme\UnSpyPC\UnSpyPC.exe
HKCU-Run-brastk - c:\windows\system32\brastk.exe
HKCU-Run-{CE0D3A51-0191-428D-47E5-7AB3688BBA30} - c:\dokumente und einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Fofeed\elmi.exe
Notify-WgaLogon - (no file)
AddRemove-Adobe Acrobat 5.0 - c:\windows\ISUN0407.EXE
AddRemove-MGI_VideoWave_V1_0 - c:\windows\IsUn0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-02-06 13:37
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2444)
c:\progra~1\WINDOW~2\wmpband.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Microsoft Security Client\MsMpEng.exe
c:\programme\Java\jre6\bin\jqs.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-02-06  13:47:40 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-02-06 12:47
.
Vor Suchlauf: 14 Verzeichnis(se), 17.253.326.848 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 17.466.511.360 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - 290C5B0A076C331269C3BAA5BF9EE6FD
         

--- --- ---


Lg Andrea

Hallo Andrea,

ok, und weiter geht's, da bleibt schon noch einiges zu tun.

Warnung: Information Stealer

Aus deinen Logs ist ersichtlich, dass du Malware eingefangen hast, die es speziell auf deine sensitiven Daten (Benutzernamen, Passwörter, Onlinebankingzugangsdaten, etc.) abgesehen hat.
Man kann nicht genau wissen, was alles mitgeloggt wurde, aber sicherheitshalber würd ich alle auf diesem Rechner eingegebenen Daten und Passwörter als bekannt voraussetzen.

Ich würde dir daher raten, zum Schluss oder von einem sauberen Rechner aus sämtliche Zugangsdaten, welche an diesem Rechner verwendet wurden, zu ändern.

Schritt 1

Bitte gehe zu Virustotal und lass dort folgendermassen eine Datei überprüfen:

• Klicke auf Choose File.
• Kopiere dann Folgendes in das Eingabefeld für den Dateinamen
  
  Code: Alles auswählenAufklappen

  ATTFilter

  C:\Programme\Gemeinsame Dateien\utyhumute.scr
           

  und klicke auf Öffnen.
• Klicke auf Scan it!.
• Solltest du folgende Meldung bekommen:
  
  Zitat:

  File already analysed - This file was already analysed by VirusTotal on ...

  dann klicke auf Reanalyse.
• Warte, bis die Analyse beendet ist, und kopiere dann die URL aus deiner Adresszeile und poste sie hier.

Schritt 2

Downloade dir bitte aswMBR.exe und speichere die Datei auf deinen Desktop.

• Starte die aswMBR.exe.
  Vista und Win7 User mit Rechtsklick "als Admininstartor ausführen".
• Das Tool wird dich fragen, ob du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff aufs Internet zulassen.)
  Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
• Klicke dann auf Scan.
• Warte bitte, bis Scan finished successfully im DOS Fenster steht.
• Drücke auf Save Log und speichere das Log auf den Desktop.

Poste mir bitte den Inhalt dieser aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung.

Hinweis: Sollte der Scan Button ausgeblendet sein, schliesse das Tool und starte es erneut. Sollte es erneut nicht klappen, teile mir das bitte mit.



Schritt 3

Starte bitte die OTL.exe.

• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Link zur VirusTotal-Analyse
• Log von aswMBR
• Log von OTL

Oha Leo,

bisher war ich noch recht entspannt. Jetzt nicht mehr.
Sollte ich irgendwie meiner Bank etwas melden?
Hilfst Du mir den Rechner für die Zukunft so gut als möglich zu schützen?

Danke, was würde ich ohne Dich jetzt machen....


Die Adresse:

https://www.virustotal.com/file/7d3bfa9929862ab8af360afce3fe621a8949d557351933c4a0ea63cabace2950/analysis/1360173682/


aswMBR version 0.9.9.1707 Copyright(c) 2011 AVAST Software
Run date: 2013-02-06 19:21:28
-----------------------------
19:21:28.015 OS Version: Windows 5.1.2600 Service Pack 3
19:21:28.015 Number of processors: 1 586 0x207
19:21:28.015 ComputerName: USER-7DF944BEE4 UserName: Besitzer
19:21:28.937 Initialize success
19:26:59.328 AVAST engine defs: 13020600
19:27:27.562 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
19:27:27.562 Disk 0 Vendor: WDC_WD400BB-23DEA0 05.03E05 Size: 38162MB BusType: 3
19:27:27.625 Disk 0 MBR read successfully
19:27:27.625 Disk 0 MBR scan
19:27:29.984 Disk 0 Windows XP default MBR code
19:27:30.015 Disk 0 Partition 1 80 (A) 07 HPFS/NTFS NTFS 38154 MB offset 63
19:27:32.718 Disk 0 scanning sectors +78140160
19:27:33.812 Disk 0 scanning C:\WINDOWS\system32\drivers
19:28:39.406 Service scanning
19:29:00.343 Service MpKsl3d2d107e c:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{A96BAB4D-16BD-4158-8544-D7A73A49B6D9}\MpKsl3d2d107e.sys **LOCKED** 32
19:29:25.468 Modules scanning
19:29:38.718 Disk 0 trace - called modules:
19:29:38.750 ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys intelide.sys PCIIDEX.SYS
19:29:39.265 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x8132a9c0]
19:29:39.265 3 CLASSPNP.SYS[f9306fd7] -> nt!IofCallDriver -> \Device\00000063[0x81327f18]
19:29:39.265 5 ACPI.sys[f927c620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x81330d98]
19:29:40.968 AVAST engine scan C:\WINDOWS
19:30:26.859 AVAST engine scan C:\WINDOWS\system32
19:38:25.812 AVAST engine scan C:\WINDOWS\system32\drivers
19:39:08.218 AVAST engine scan C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4
19:55:26.234 AVAST engine scan C:\Dokumente und Einstellungen\All Users.WINDOWS
19:58:31.390 Scan finished successfully
20:02:58.781 Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\MBR.dat"
20:02:59.062 The log file has been saved successfully to "C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\aswMBR.txt"


OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 06.02.2013 20:03:51 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
253,98 Mb Total Physical Memory | 92,09 Mb Available Physical Memory | 36,26% Memory free
661,56 Mb Paging File | 344,97 Mb Available in Paging File | 52,14% Paging File free
Paging file location(s): C:\pagefile.sys 384 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 16,13 Gb Free Space | 43,30% Space Free | Partition Type: NTFS
 
Computer Name: USER-7DF944BEE4 | User Name: Besitzer | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.05 11:49:47 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\OTL.exe
PRC - [2012.09.12 17:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\MsMpEng.exe
PRC - [2012.09.12 17:19:44 | 000,947,176 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2010.05.14 10:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.11.24 10:32:22 | 000,234,792 | ---- | M] (Skype Technologies S.A.) -- C:\Programme\Skype\Toolbars\Shared\SkypeNames2.exe
PRC - [2009.10.21 16:15:38 | 000,288,768 | ---- | M] (T-Systems International GmbH) -- C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2004.09.14 09:00:00 | 000,118,784 | ---- | M] (WinZip Computing, Inc.) -- C:\Programme\WinZip\WZQKPICK.EXE
PRC - [2004.06.08 17:20:00 | 000,327,680 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
PRC - [1999.03.11 18:22:06 | 000,046,080 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2004.06.08 17:20:00 | 000,327,680 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
MOD - [2004.06.07 10:46:00 | 000,159,744 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\res.dll
MOD - [2004.06.04 12:52:00 | 000,077,824 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\iface.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.09.12 17:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2012.07.13 13:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2009.10.21 16:15:38 | 000,288,768 | ---- | M] (T-Systems International GmbH) [Auto | Running] -- C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe -- (DFSVC)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva401.sys -- (XDva401)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\T-Online\T-DSLT~1\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\msbwatmr.sys -- (msbwatmr)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | System | Stopped] --  -- (Beep)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\BESITZ~1.USE\LOKALE~1\Temp\aswMBR.sys -- (aswMBR)
DRV - [2013.02.06 19:21:29 | 000,029,904 | ---- | M] (Microsoft Corporation) [Kernel | System | Running] -- c:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Microsoft\Microsoft Antimalware\Definition Updates\{A96BAB4D-16BD-4158-8544-D7A73A49B6D9}\MpKsl3d2d107e.sys -- (MpKsl3d2d107e)
DRV - [2013.02.04 11:29:09 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\SFDRV01.SYS -- (sfdrv01)
DRV - [2011.06.02 10:08:34 | 000,011,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\SystemRequirementsLab\cpudrv.sys -- (cpudrv)
DRV - [2009.10.15 16:14:38 | 000,024,352 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SipIMNDI.sys -- (SipIMNDI)
DRV - [2009.10.15 16:14:38 | 000,014,624 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\T-Home\Dialerschutz-Software\DFSYS.sys -- (DFSYS)
DRV - [2006.03.13 10:38:23 | 000,006,656 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02)
DRV - [2005.12.10 12:50:44 | 000,001,792 | ---- | M] () [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\zpmodemnt.sys -- (ZPMODEMSYSNTDRVNT)
DRV - [2005.11.03 15:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02)
DRV - [2005.03.12 21:07:57 | 000,015,781 | ---- | M] (Meetinghouse Data Communications) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\mdc8021x.sys -- (MDC8021X)
DRV - [2004.08.04 16:19:30 | 000,099,476 | ---- | M] (Syntek Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\STK013W2.sys -- (DCamUSBSTK013)
DRV - [2001.02.12 21:02:26 | 000,047,616 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TDSLAdap.sys -- (TDSLAdapter)
DRV - [2001.02.12 21:02:26 | 000,006,688 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TDSLProt.sys -- (TDSLProtocol)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\BESITZ~1.USE\LOKALE~1\Temp\se.dll/sp.html
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = Fixhomepage
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = Google
IE - HKCU\..\SearchScopes,DefaultScope = {752222CD-DB25-4386-A127-97D8AD232195}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{752222CD-DB25-4386-A127-97D8AD232195}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {c8810cc9-0aaa-4aed-8c67-b2b1918c1e08}:0.9.6
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll File not found
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
[2008.10.21 16:34:08 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Mozilla\Extensions
[2010.07.13 11:07:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Mozilla\Firefox\Profiles\toapyfth.default\extensions
[2008.10.21 16:42:43 | 000,000,000 | ---D | M] ("Travissimo") -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Mozilla\Firefox\Profiles\toapyfth.default\extensions\{c8810cc9-0aaa-4aed-8c67-b2b1918c1e08}
 
O1 HOSTS File: ([2013.02.06 13:37:29 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [T-Home Dialerschutz-Software] C:\Programme\T-Home\Dialerschutz-Software\Defender.exe (T-Systems International GmbH)
O4 - HKLM..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe (Marmiko IT-Solutions GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\STK013 PNP Monitor.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoBandCustomize = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe File not found
O9 - Extra 'Tools' menuitem : PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe File not found
O15 - HKCU\..Trusted Domains: mobile.de ([www] https in Vertrauenswürdige Sites)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/templates/ieawsdc.cab (Microsoft Office Template and Media Control)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/8/b/d/8bd77752-5704-4d68-a152-f7252adaa4f2/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (BDSCANONLINE Control)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6087.cab (Windows Live Safety Center Base Module)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} hxxp://god.t-online.de/download/ExentCtl.ocx (ExentInf Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1359916086187 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.5.13.0.cab (SysInfo Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{22F3A328-1E8C-498D-B83F-2DB49C6E68F3}: NameServer = 217.0.43.17 217.0.43.33
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - (igfxsrvc.dll) - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.02.28 19:38:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.06 19:08:46 | 004,732,416 | ---- | C] (AVAST Software) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\aswMBR.exe
[2013.02.06 12:42:28 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2013.02.06 12:35:30 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013.02.06 12:35:30 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013.02.06 12:35:30 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013.02.06 12:35:30 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013.02.06 12:35:03 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.02.06 12:34:58 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Startmenü\Programme\Verwaltung
[2013.02.06 12:34:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2013.02.06 12:20:49 | 005,029,686 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\ComboFix.exe
[2013.02.05 17:22:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Skype
[2013.02.05 17:22:27 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[2013.02.05 16:21:46 | 002,213,976 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\tdsskiller.exe
[2013.02.05 11:49:30 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\OTL.exe
[2013.02.03 19:37:34 | 000,051,200 | ---- | C] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\rpinjgdb.sys
[2013.02.03 02:52:37 | 000,000,000 | ---D | C] -- C:\Programme\SystemRequirementsLab
[2013.02.02 23:53:56 | 000,000,000 | ---D | C] -- C:\gamigo
[2013.02.02 21:13:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\PCHealth
[2013.02.02 21:11:59 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Client
[1999.03.11 18:22:04 | 000,099,840 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
[1998.12.09 03:53:54 | 000,186,368 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAREG.DLL
[1998.12.09 03:53:54 | 000,070,144 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
[1998.12.09 03:53:54 | 000,048,640 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
[1998.12.09 03:53:54 | 000,031,744 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
[1998.12.09 03:53:54 | 000,017,920 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.06 20:02:59 | 000,000,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\MBR.dat
[2013.02.06 19:08:55 | 004,732,416 | ---- | M] (AVAST Software) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\aswMBR.exe
[2013.02.06 19:05:13 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2013.02.06 18:55:01 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.02.06 13:37:29 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013.02.06 12:42:35 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2013.02.06 12:21:25 | 005,029,686 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\ComboFix.exe
[2013.02.06 12:18:48 | 000,582,209 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\adwcleaner.exe
[2013.02.05 21:47:04 | 000,247,904 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.02.05 20:57:21 | 000,450,648 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.02.05 20:57:21 | 000,433,832 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.02.05 20:57:21 | 000,081,008 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.02.05 20:57:21 | 000,068,212 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.02.05 20:50:19 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013.02.05 17:22:54 | 000,001,872 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Skype.lnk
[2013.02.05 16:21:57 | 002,213,976 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\tdsskiller.exe
[2013.02.05 11:49:47 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\OTL.exe
[2013.02.04 11:45:01 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.02.04 11:29:09 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\SFDRV01.SYS
[2013.02.03 19:37:34 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\rpinjgdb.sys
[2013.02.03 00:02:43 | 000,000,650 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\Golfstar.lnk
[2013.02.02 21:53:11 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Adobe Reader 9.lnk
[2013.02.02 21:13:25 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.02.06 20:02:58 | 000,000,512 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\MBR.dat
[2013.02.06 12:42:35 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2013.02.06 12:42:30 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2013.02.06 12:35:30 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2013.02.06 12:35:30 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2013.02.06 12:35:30 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2013.02.06 12:35:30 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2013.02.06 12:35:30 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2013.02.06 12:18:18 | 000,582,209 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\adwcleaner.exe
[2013.02.05 17:22:54 | 000,001,872 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Skype.lnk
[2013.02.03 00:02:40 | 000,000,650 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\Golfstar.lnk
[2013.02.02 21:49:09 | 000,002,347 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Adobe Reader 9.lnk
[2013.02.02 21:49:09 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Adobe Reader 9.lnk
[2013.02.02 21:23:33 | 000,000,386 | -H-- | C] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2013.02.02 21:13:25 | 000,001,912 | ---- | C] () -- C:\WINDOWS\epplauncher.mif
[2013.02.02 21:13:07 | 000,001,678 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Microsoft Security Essentials.lnk
[2010.05.28 20:34:47 | 000,000,004 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\avdrn.dat
[2008.11.12 11:07:58 | 000,019,973 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\xiny.inf
[2008.11.12 11:07:57 | 000,013,289 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\muta.inf
[2008.11.12 11:07:57 | 000,011,934 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\igyj._dl
[2008.11.12 11:07:57 | 000,011,305 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\utyhumute.scr
[2008.11.12 11:07:56 | 000,012,441 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\agipyqubi._sy
[2008.11.12 11:07:56 | 000,010,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\kelyqimu.inf
[2005.03.14 18:43:55 | 000,013,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2006.06.08 18:53:12 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2006.05.29 16:03:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BOONTY
[2007.11.26 23:54:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\HipSoft
[2009.03.06 18:42:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MumboJumbo
[2007.12.12 17:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PlayFirst
[2005.03.12 21:09:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Prism
[2005.04.20 07:51:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SBT
[2010.06.04 09:26:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online
[2010.03.17 23:50:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online_ZusatzSoftware
[2009.06.23 16:54:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zylom
[2010.10.07 21:17:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\DynaGeo
[2010.07.13 17:51:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Fofeed
[2008.01.16 16:47:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\funkitron
[2010.07.09 09:46:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Goyd
[2010.06.24 18:23:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Huva
[2005.03.12 20:59:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\InterTrust
[2010.06.21 16:51:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Meug
[2007.12.12 17:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\PlayFirst
[2007.02.08 17:58:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\SecondLife
[2005.03.14 12:59:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\T-Online
[2009.03.07 17:36:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Zylom
 
========== Purity Check ==========
 
 

< End of report >
         

--- --- ---


Lg Andrea

Hallo Andrea,

Zitat:

bisher war ich noch recht entspannt. Jetzt nicht mehr.

Immer entspannt bleiben.
Das ist kein Grund, in grosse Panik zu verfallen. Ändere einfach alle Passwörter etc, das sollte man sowieso öfters tun.

Zitat:

Sollte ich irgendwie meiner Bank etwas melden?

Wenn du Onlinebanking gemacht hast, kannst du deiner Bank mitteilen, dass du Zeus/Zbot-Befall hattest, damit man entsprechend reagieren kann.

Zitat:

Hilfst Du mir den Rechner für die Zukunft so gut als möglich zu schützen?

Ja, darum kümmern wir uns dann ganz zum Schluss.


Schritt 1

• Starte bitte die OTL.exe.
• Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
  Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code: Alles auswählenAufklappen

ATTFilter

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\BESITZ~1.USE\LOKALE~1\Temp\se.dll/sp.html
[2008.11.12 11:07:58 | 000,019,973 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\xiny.inf
[2008.11.12 11:07:57 | 000,013,289 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\muta.inf
[2008.11.12 11:07:57 | 000,011,934 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\igyj._dl
[2008.11.12 11:07:57 | 000,011,305 | ---- | C] () -- C:\Programme\Gemeinsame Dateien\utyhumute.scr
[2008.11.12 11:07:56 | 000,012,441 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\agipyqubi._sy
[2008.11.12 11:07:56 | 000,010,120 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\kelyqimu.inf
[2010.07.13 17:51:12 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Fofeed
[2010.07.09 09:46:03 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Goyd
[2010.06.24 18:23:23 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Huva
[2010.06.21 16:51:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Meug

:commands
[emptytemp]
         

• Schliesse nun bitte alle anderen Programme.
• Klicke jetzt auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
• Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
  (Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
• Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Downloade dir bitte Malwarebytes Anti-Malware .

• Installiere das Programm in den vorgegebenen Pfad.
• Starte nun Malwarebytes Anti-Malware.
  Vista und Win7 User mit Rechtsklick "als Administrator starten".
• Klicke auf Aktualisierung --> Suche nach Aktualisierung.
• Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
• Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
• Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
• Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
• Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

• Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
• Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
  (Danach nicht vergessen, sie wieder einzuschalten.)
• Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
• Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
• Warte bis die Komponenten heruntergeladen sind.
• Setze den Haken bei Scan archives.
• Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
• Drücke dann auf Start.
• Die Signaturen werden heruntergeladen und der Scan startet automatisch.
  Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
• Falls nach Beendigung des Scans Funde angezeigt werden, dann:
  • Drücke auf List of found threats.
  • Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
  • Drücke danach auf << Back.
• Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.



Schritt 4

Lade dir bitte Emsisoft MBR Master herunter und speichere es auf den Desktop.

• Führe die mbrmastr.exe aus.
• Drücke dann auf Backup MBR und speichere es als emsi auf den Desktop.
• Schliesse dann das Programm wieder.
• Packe die erstellte emsi.mbr in ein zip-Archiv (Rechtsklick -> Senden an -> Zip-komprimierten Ordner) und hänge die Datei hier an.
• Auf dem Desktop wird auch noch eine Textdatei MBRMastr_<date>_<time>.txt erstellt. Poste dessen Inhalt bitte hier.

Schritt 5

Starte bitte die OTL.exe.

• Drücke auf den Quick Scan Button.
• Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Fixlog von OTL
• Log von MBAM
• Log von ESET
• Log und zip von emsisoft mbrmaster
• Log von OTL

Hi Leo,

jetzt weis ich was du mit Aufwand meinst

Ok hat alles soweit gefunkzt.
Der Eset-scan hatte keinen Fund.

Hier die logs:

All processes killed
========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\\Search Bar| /E : value set successfully!
C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\xiny.inf moved successfully.
C:\Programme\Gemeinsame Dateien\muta.inf moved successfully.
C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\igyj._dl moved successfully.
C:\Programme\Gemeinsame Dateien\utyhumute.scr moved successfully.
C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\agipyqubi._sy moved successfully.
C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\kelyqimu.inf moved successfully.
C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Fofeed folder moved successfully.
C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Goyd folder moved successfully.
C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Huva folder moved successfully.
C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Meug folder moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Administrator.USER-7DF944BEE4
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

User: All Users

User: All Users.WINDOWS

User: Andrea
->Temp folder emptied: 53284254 bytes
->Temporary Internet Files folder emptied: 29230730 bytes
->Java cache emptied: 981688 bytes
->Flash cache emptied: 7354 bytes

User: Besitzer
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Besitzer.USER-7DF944BEE4
->Temp folder emptied: 75259960 bytes
->Temporary Internet Files folder emptied: 40120995 bytes
->Java cache emptied: 39223203 bytes
->FireFox cache emptied: 42322387 bytes
->Flash cache emptied: 1942855 bytes

User: BESITZ~1~USE

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Default User.WINDOWS
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService.NT-AUTORITÄT
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 65670 bytes
->Flash cache emptied: 405 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 402 bytes

User: NetworkService.NT-AUTORITÄT
->Temp folder emptied: 17386 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 56354 bytes
->Flash cache emptied: 16460 bytes

User: Partner DVAG
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 3908543 bytes
->Flash cache emptied: 13224 bytes

User: Test
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Test.USER-7DF944BEE4
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 5933 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134333 bytes
%systemroot%\System32 .tmp files removed: 19360647 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 23304 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 294,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 02072013_133030

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...



Malwarebytes Anti-Malware (Test) 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.02.07.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Besitzer :: USER-7DF944BEE4 [Administrator]

Schutz: Aktiviert

07.02.2013 17:09:22
mbam-log-2013-02-07 (17-09-22).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 450639
Laufzeit: 15 Minute(n), 8 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\AntiSpywareXP2009 (Rogue.AntiSpywareXP) -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\Downloads\BeachLifeSetup-dm[1].exe (Adware.TryMedia) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)



Detected Windows version: 5.1 Build 2600 Service Pack 3
Installing direct disk access driver ...
Driver connection handle: 0x00000088
1 valid drive(s) found.

Details for Disk 0 - WDC WD400BB-23DEA0 Rev 05.03E05:
Device name : \\.\PhysicalDrive0
Geometry (C/H/S) : 4865/255/63
Boot loader reputation : Unknown
Cross view comparison : Passed
Partition table integrity: Passed

Boot loader hashes
SHA-1 : ADFE55CD0C6ED2E00B22375835E4C2736CE9AD11
MD5 : 72B8CE41AF0DE751C946802B3ED844B4



OTL Logfile:

Code: Alles auswählenAufklappen

ATTFilter

OTL logfile created on: 07.02.2013 21:03:10 - Run 3
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
253,98 Mb Total Physical Memory | 75,97 Mb Available Physical Memory | 29,91% Memory free
624,82 Mb Paging File | 356,76 Mb Available in Paging File | 57,10% Paging File free
Paging file location(s): C:\pagefile.sys 384 768 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 37,26 Gb Total Space | 16,56 Gb Free Space | 44,44% Space Free | Partition Type: NTFS
 
Computer Name: USER-7DF944BEE4 | User Name: Besitzer | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.02.05 11:49:47 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\OTL.exe
PRC - [2012.09.12 17:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) -- c:\Programme\Microsoft Security Client\MsMpEng.exe
PRC - [2012.09.12 17:19:44 | 000,947,176 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Security Client\msseces.exe
PRC - [2010.05.14 10:44:46 | 000,248,552 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.10.21 16:15:38 | 000,288,768 | ---- | M] (T-Systems International GmbH) -- C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2004.09.14 09:00:00 | 000,118,784 | ---- | M] (WinZip Computing, Inc.) -- C:\Programme\WinZip\WZQKPICK.EXE
PRC - [2004.06.08 17:20:00 | 000,327,680 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
PRC - [1999.03.11 18:22:06 | 000,046,080 | ---- | M] (Microsoft Corporation) -- C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2009.02.27 16:41:26 | 000,311,296 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\pdfshell.DEU
MOD - [2004.11.02 21:16:40 | 000,121,856 | ---- | M] () -- C:\Programme\WinRAR\RarExt.dll
MOD - [2004.06.08 17:20:00 | 000,327,680 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe
MOD - [2004.06.07 10:46:00 | 000,159,744 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\res.dll
MOD - [2004.06.04 12:52:00 | 000,077,824 | ---- | M] () -- C:\Programme\T-Com\Sinus 154 data II\iface.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2012.09.12 17:25:22 | 000,020,472 | ---- | M] (Microsoft Corporation) [Auto | Running] -- c:\Programme\Microsoft Security Client\MsMpEng.exe -- (MsMpSvc)
SRV - [2012.07.13 13:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2009.10.21 16:15:38 | 000,288,768 | ---- | M] (T-Systems International GmbH) [Auto | Running] -- C:\Programme\T-Home\Dialerschutz-Software\DFInject.exe -- (DFSVC)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\XDva401.sys -- (XDva401)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\PROGRA~1\T-Online\T-DSLT~1\PCANDIS5.SYS -- (PCANDIS5)
DRV - File not found [Kernel | System | Stopped] -- C:\WINDOWS\system32\drivers\msbwatmr.sys -- (msbwatmr)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - File not found [Kernel | System | Stopped] --  -- (Beep)
DRV - [2013.02.04 11:29:09 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\SFDRV01.SYS -- (sfdrv01)
DRV - [2011.06.02 10:08:34 | 000,011,336 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Programme\SystemRequirementsLab\cpudrv.sys -- (cpudrv)
DRV - [2009.10.15 16:14:38 | 000,024,352 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\SipIMNDI.sys -- (SipIMNDI)
DRV - [2009.10.15 16:14:38 | 000,014,624 | ---- | M] (T-Systems International GmbH) [Kernel | On_Demand | Stopped] -- C:\Programme\T-Home\Dialerschutz-Software\DFSYS.sys -- (DFSYS)
DRV - [2006.03.13 10:38:23 | 000,006,656 | ---- | M] (Protection Technology (StarForce)) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02)
DRV - [2005.12.10 12:50:44 | 000,001,792 | ---- | M] () [Kernel | Auto | Stopped] -- C:\WINDOWS\system32\drivers\zpmodemnt.sys -- (ZPMODEMSYSNTDRVNT)
DRV - [2005.11.03 15:40:07 | 000,063,488 | ---- | M] (Protection Technology) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02)
DRV - [2005.03.12 21:07:57 | 000,015,781 | ---- | M] (Meetinghouse Data Communications) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\mdc8021x.sys -- (MDC8021X)
DRV - [2004.08.04 16:19:30 | 000,099,476 | ---- | M] (Syntek Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\STK013W2.sys -- (DCamUSBSTK013)
DRV - [2001.02.12 21:02:26 | 000,047,616 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\TDSLAdap.sys -- (TDSLAdapter)
DRV - [2001.02.12 21:02:26 | 000,006,688 | ---- | M] (T-Online International AG) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\TDSLProt.sys -- (TDSLProtocol)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.google.com
IE - HKCU\..\SearchScopes,DefaultScope = {752222CD-DB25-4386-A127-97D8AD232195}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{752222CD-DB25-4386-A127-97D8AD232195}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
========== FireFox ==========
 
FF - prefs.js..extensions.enabledItems: {c8810cc9-0aaa-4aed-8c67-b2b1918c1e08}:0.9.6
FF - user.js - File not found
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Programme\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll File not found
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 9.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
 
[2008.10.21 16:34:08 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Mozilla\Extensions
[2010.07.13 11:07:32 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Mozilla\Firefox\Profiles\toapyfth.default\extensions
[2008.10.21 16:42:43 | 000,000,000 | ---D | M] ("Travissimo") -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Mozilla\Firefox\Profiles\toapyfth.default\extensions\{c8810cc9-0aaa-4aed-8c67-b2b1918c1e08}
 
O1 HOSTS File: ([2013.02.06 13:37:29 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Skype add-on for Internet Explorer) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [MSC] c:\Programme\Microsoft Security Client\msseces.exe (Microsoft Corporation)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [T-Home Dialerschutz-Software] C:\Programme\T-Home\Dialerschutz-Software\Defender.exe (T-Systems International GmbH)
O4 - HKLM..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe (Marmiko IT-Solutions GmbH)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\STK013 PNP Monitor.lnk =  File not found
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE (Microsoft Corporation)
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\T-Com WLAN Manager.lnk = C:\Programme\T-Com\Sinus 154 data II\TS154USB.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoBandCustomize = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra Button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra 'Tools' menuitem : Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O9 - Extra Button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe File not found
O9 - Extra 'Tools' menuitem : PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.net\PartyPokerNet\RunPF.exe File not found
O15 - HKCU\..Trusted Domains: mobile.de ([www] https in Vertrauenswürdige Sites)
O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} hxxp://office.microsoft.com/templates/ieawsdc.cab (Microsoft Office Template and Media Control)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab (Shockwave ActiveX Control)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://download.microsoft.com/download/8/b/d/8bd77752-5704-4d68-a152-f7252adaa4f2/LegitCheckControl.cab (Windows Genuine Advantage Validation Tool)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} hxxp://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab (BDSCANONLINE Control)
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6087.cab (Windows Live Safety Center Base Module)
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} hxxp://god.t-online.de/download/ExentCtl.ocx (ExentInf Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1359916086187 (MUWebControl Class)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab (Java Plug-in 1.6.0_21)
O16 - DPF: {CF84DAC5-A4F5-419E-A0BA-C01FFD71112F} hxxp://content.systemrequirementslab.com.s3.amazonaws.com/global/bin/srldetect_intel_4.5.13.0.cab (SysInfo Class)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{22F3A328-1E8C-498D-B83F-2DB49C6E68F3}: NameServer = 217.0.43.17 217.0.43.33
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\msdaipp.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Gemeinsame Dateien\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Handler\skype-ie-addon-data {91774881-D725-4E58-B298-07617B9B86A8} - C:\Programme\Skype\Toolbars\Internet Explorer\skypeieplugin.dll (Skype Technologies S.A.)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O20 - Winlogon\Notify\igfxcui: DllName - (igfxsrvc.dll) - C:\WINDOWS\System32\igfxsrvc.dll (Intel Corporation)
O24 - Desktop WallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O24 - Desktop BackupWallPaper: C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2005.02.28 19:38:14 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.02.07 17:53:43 | 000,000,000 | ---D | C] -- C:\Programme\ESET
[2013.02.07 17:46:00 | 000,788,728 | ---- | C] (Emsisoft GmbH) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\mbrmastr.exe
[2013.02.07 17:45:10 | 002,322,184 | ---- | C] (ESET) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\esetsmartinstaller_enu.exe
[2013.02.07 14:16:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Malwarebytes
[2013.02.07 14:10:32 | 010,156,344 | ---- | C] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\mbam-setup-1.70.0.1100.exe
[2013.02.07 13:30:30 | 000,000,000 | ---D | C] -- C:\_OTL
[2013.02.07 11:01:37 | 000,000,000 | -HSD | C] -- C:\RECYCLER
[2013.02.06 19:08:46 | 004,732,416 | ---- | C] (AVAST Software) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\aswMBR.exe
[2013.02.06 12:42:28 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2013.02.06 12:35:30 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013.02.06 12:35:30 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013.02.06 12:35:30 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013.02.06 12:35:30 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013.02.06 12:35:03 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.02.06 12:34:58 | 000,000,000 | R--D | C] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Startmenü\Programme\Verwaltung
[2013.02.06 12:34:35 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2013.02.06 12:20:49 | 005,029,686 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\ComboFix.exe
[2013.02.05 17:22:54 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Skype
[2013.02.05 17:22:27 | 000,000,000 | ---D | C] -- C:\Programme\Gemeinsame Dateien\Skype
[2013.02.05 16:21:46 | 002,213,976 | ---- | C] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\tdsskiller.exe
[2013.02.05 11:49:30 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\OTL.exe
[2013.02.03 19:37:34 | 000,051,200 | ---- | C] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\rpinjgdb.sys
[2013.02.03 02:52:37 | 000,000,000 | ---D | C] -- C:\Programme\SystemRequirementsLab
[2013.02.02 23:53:56 | 000,000,000 | ---D | C] -- C:\gamigo
[2013.02.02 21:13:23 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\PCHealth
[2013.02.02 21:11:59 | 000,000,000 | ---D | C] -- C:\Programme\Microsoft Security Client
[1999.03.11 18:22:04 | 000,099,840 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRAABOUT.DLL
[1998.12.09 03:53:54 | 000,186,368 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAREG.DLL
[1998.12.09 03:53:54 | 000,070,144 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAMDMTR.DLL
[1998.12.09 03:53:54 | 000,048,640 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRALPTTR.DLL
[1998.12.09 03:53:54 | 000,031,744 | ---- | C] (Symantec Corp., Peter Norton Computing Group) -- C:\Programme\Gemeinsame Dateien\IRAWEBTR.DLL
[1998.12.09 03:53:54 | 000,017,920 | ---- | C] (Symantec Corp.) -- C:\Programme\Gemeinsame Dateien\IRASRIAL.DLL
 
========== Files - Modified Within 30 Days ==========
 
[2013.02.07 21:02:40 | 000,000,524 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\MBR.zip
[2013.02.07 18:32:28 | 000,000,386 | -H-- | M] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2013.02.07 18:22:18 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.02.07 17:46:09 | 000,788,728 | ---- | M] (Emsisoft GmbH) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\mbrmastr.exe
[2013.02.07 17:45:18 | 002,322,184 | ---- | M] (ESET) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\esetsmartinstaller_enu.exe
[2013.02.07 14:10:54 | 010,156,344 | ---- | M] (Malwarebytes Corporation                                    ) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\mbam-setup-1.70.0.1100.exe
[2013.02.06 20:02:59 | 000,000,512 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\MBR.dat
[2013.02.06 19:08:55 | 004,732,416 | ---- | M] (AVAST Software) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\aswMBR.exe
[2013.02.06 13:37:29 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013.02.06 12:42:35 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2013.02.06 12:21:25 | 005,029,686 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\ComboFix.exe
[2013.02.06 12:18:48 | 000,582,209 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\adwcleaner.exe
[2013.02.05 22:57:37 | 000,001,355 | ---- | M] () -- C:\WINDOWS\imsins.BAK
[2013.02.05 21:47:04 | 000,247,904 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[2013.02.05 20:57:21 | 000,450,648 | ---- | M] () -- C:\WINDOWS\System32\perfh007.dat
[2013.02.05 20:57:21 | 000,433,832 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat
[2013.02.05 20:57:21 | 000,081,008 | ---- | M] () -- C:\WINDOWS\System32\perfc007.dat
[2013.02.05 20:57:21 | 000,068,212 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat
[2013.02.05 17:22:54 | 000,001,872 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Skype.lnk
[2013.02.05 16:21:57 | 002,213,976 | ---- | M] (Kaspersky Lab ZAO) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\tdsskiller.exe
[2013.02.05 11:49:47 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\OTL.exe
[2013.02.04 11:45:01 | 000,002,422 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.02.04 11:29:09 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\SFDRV01.SYS
[2013.02.03 19:37:34 | 000,051,200 | ---- | M] (Protection Technology (StarForce)) -- C:\WINDOWS\System32\drivers\rpinjgdb.sys
[2013.02.03 00:02:43 | 000,000,650 | ---- | M] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\Golfstar.lnk
[2013.02.02 21:53:11 | 000,001,709 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Adobe Reader 9.lnk
[2013.02.02 21:13:25 | 000,001,912 | ---- | M] () -- C:\WINDOWS\epplauncher.mif
 
========== Files Created - No Company Name ==========
 
[2013.02.07 21:02:40 | 000,000,524 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\MBR.zip
[2013.02.06 20:02:58 | 000,000,512 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\MBR.dat
[2013.02.06 12:42:35 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2013.02.06 12:42:30 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2013.02.06 12:35:30 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2013.02.06 12:35:30 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2013.02.06 12:35:30 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2013.02.06 12:35:30 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2013.02.06 12:35:30 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2013.02.06 12:18:18 | 000,582,209 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\adwcleaner.exe
[2013.02.05 17:22:54 | 000,001,872 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Skype.lnk
[2013.02.03 00:02:40 | 000,000,650 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Desktop\Golfstar.lnk
[2013.02.02 21:49:09 | 000,002,347 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Adobe Reader 9.lnk
[2013.02.02 21:49:09 | 000,001,709 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Desktop\Adobe Reader 9.lnk
[2013.02.02 21:23:33 | 000,000,386 | -H-- | C] () -- C:\WINDOWS\tasks\Microsoft Antimalware Scheduled Scan.job
[2013.02.02 21:13:25 | 000,001,912 | ---- | C] () -- C:\WINDOWS\epplauncher.mif
[2013.02.02 21:13:07 | 000,001,678 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Microsoft Security Essentials.lnk
[2005.03.14 18:43:55 | 000,013,312 | ---- | C] () -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
 
========== ZeroAccess Check ==========
 
[2006.06.08 18:53:12 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2006.05.29 16:03:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BOONTY
[2007.11.26 23:54:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\HipSoft
[2009.03.06 18:42:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MumboJumbo
[2007.12.12 17:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PlayFirst
[2005.03.12 21:09:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Prism
[2005.04.20 07:51:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\SBT
[2010.06.04 09:26:04 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online
[2010.03.17 23:50:08 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online_ZusatzSoftware
[2009.06.23 16:54:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Zylom
[2010.10.07 21:17:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\DynaGeo
[2008.01.16 16:47:34 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\funkitron
[2005.03.12 20:59:39 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\InterTrust
[2007.12.12 17:52:56 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\PlayFirst
[2007.02.08 17:58:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\SecondLife
[2005.03.14 12:59:15 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\T-Online
[2009.03.07 17:36:21 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\Besitzer.USER-7DF944BEE4\Anwendungsdaten\Zylom
 
========== Purity Check ==========
 
 

< End of report >
         

--- --- ---


Lg Andrea

sorry habe die zip-datei vergessen.

hm wie bekomme ich die angehängt?

auf dem desktop liegt die und wenn ich auf anhänge verwalten gehe hängt die sich hier
nicht an den post :-(

Hallo Andrea,

lassen wir das mit dem zip.
Es sieht jetzt schon besser aus. Deine Logs zeigen aber an, dass du doch ab und zu ungebetenen Besuch auf deinem Computer hattest. Eines der Hauptgründe, wie Malware auf die Rechner gelangt, ist das Ausnutzen von Sicherheitslücken in veralteten Softwareversionen.
Und von diesen alten und uralten Versionen gibt's bei dir reichlich. Die müssen alle weg.
Achte bitte auch in Zukunft darauf, dass du nur mit up-to-date Software im Internet unterwegs bist. Ich hab zum Schluss noch einen Tipp, wie du dir dabei helfen lassen kannst.


Schritt 1

Gehe zu Start --> Systemsteuerung --> Software und deinstalliere dort der Reihe nach alle folgenden Einträge:

• J2SE Runtime Environment 5.0 Update 2
• J2SE Runtime Environment 5.0 Update 4
• J2SE Runtime Environment 5.0 Update 6
• Java(TM) 6 Update 3
• Java(TM) 6 Update 5
• Java(TM) 6 Update 21
• Adobe Reader 9.5.3 - Deutsch
• Adobe Flash Player 10 Plugin
• Windows Internet Explorer 7

Nachfolgend geb ich dir noch die Anleitungen, wie du die entfernte Software durch die jeweils aktuelle Version ersetzen kannst.



Schritt 2

Dein Java ist nicht mehr aktuell. Ältere Versionen enthalten Sicherheitslücken, die von Malware zur Infizierung per Drive-by Download missbraucht werden können.
Die aktuelle Version ist Java 7 Update 13.

In wenigen Fällen wird Java wirklich benötigt. Auch werden immer wieder neue, noch nicht geschlossene Sicherheitslücken ausgenutzt.
Überleg dir also, ob du eine Java-Installation wirklich brauchst.
Falls du Java weiterhin verwenden möchtest, dann:

• Lade dir die neueste Java-Version herunter.
• Schliesse alle laufenden Programme, speziell den Browser.
• Starte die heruntergeladene jxpiinstall.exe und folge den Anweisungen.
• Entferne während der Installation den Haken bei "Installieren Sie die Ask-Toolbar ...".

Schritt 3

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

• Besuche diese Seite von Adobe.
• Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
• Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check, ob nun deine verwendeten Versionen aktuell sind.



Schritt 4

Starte bitte die OTL.exe.

• Unter Extra Registry, wähle Use SafeList.
• Klicke nun auf Run Scan.
• Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
• Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

• Logs von OTL