Virus Hotel.de Spam im PDF Format - explorer.exe öffnet sich nicht mehr automatisch

ALKA889 · 20.03.2013, 22:36

Hallo zusammen,

folgendes Problem:

Es wurde eine Mail von Hotel.de mit einer Reservierung an mich gesendet, die ich versehentlich aufgemacht habe. Die angehängte Datei (als pdf getarnt) hat wohl nen Virus enthalten.

Folgende Symptome sind aufgetreten:
- explorer.exe startet nicht mehr und der Desktop bleibt leer

1. Frage: habe im Forum schon was gefunden - ist das das beschriebene Problem?
(http://www.trojaner-board.de/125188-...gung-spam.html)

2. nach Schritt 2 eurer Anleitung habe ich folgende Log-Files erhalten:

(sind leider zu lang und als zip angehängt)

Habe die Mail auch schon an die @virus Mail geschickt und markusg per Mail benachrichtigt

Ich hoffe ihr könnt mir helfen und ich habe meine Angaben strukturiert genug gemacht

Außerdem lasse ich noch die Anti-Malware drüber laufen, die Datei arbeitet aber gerade noch.

Schönen Abend,

A

aharonov · 21.03.2013, 03:06

Hallo ALKA889 und

Mein Name ist Leo und ich werde dich durch die Bereinigung deines Rechners begleiten.

Eine Bereinigung beinhaltet nebst dem Entfernen von Malware auch das Schliessen von Sicherheitslücken und sollte gründlich durchgeführt werden. Sie erfolgt deshalb in mehreren Schritten und bedeutet einigen Aufwand für dich.
Beachte: Das Verschwinden der offensichtlichen Symptome bedeutet nicht, dass das System schon sauber ist.
Arbeite daher in deinem eigenen Interesse solange mit, bis du das OK bekommst, dass alles erledigt ist.

Hinweise zum Ablauf

Du bekommst von mir jeweils eine individuell auf dich abgestimmte schrittweise Anleitung.
- Lese diese Anweisungen immer zuerst vollständig durch und frag bei Unklarheiten nach, bevor du beginnst.
- Arbeite die Anleitungen dann sorgfältig und in der angegebenen Reihenfolge ab und poste deine Rückmeldungen und Logfiles gesammelt in einer Antwort.
- Füge den Inhalt der Logfiles wenn immer möglich innerhalb von Code-Tags in deine Antwort ein.
- Sollten Probleme auftauchen, dann brich an dieser Stelle ab und schildere sie so gut wie möglich.

Es ist wichtig für mich, dass sich der Zustand deines Systems nicht plötzlich unvorhersehbar ändert. Deshalb: Bitte
- .. lasse keine Scanner oder Tools ohne Aufforderung laufen. Lösche nichts auf eigene Faust.
- .. installiere oder deinstalliere während der Bereinigung keine Software.
- .. frag nicht parallel in anderen Foren nach Hilfe (Crossposting).

Ich kann dir keine Garantien geben, dass die Bereinigung schlussendlich erfolgreich sein wird und wir alles finden werden.
- Ein Formatieren und Neuinstallieren ist meist der schnellere und immer der sicherere Weg.
- Sollte ich eine schwerwiegende Infektion bei dir finden, werde ich dich nochmals darauf hinweisen. Es bleibt aber deine Entscheidung.

Los geht's: Alle Tools immer auf den Desktop speichern und von dort starten.

Los geht's:

Schritt 1

Downloade dir bitte AdwCleaner und speichere es auf deinen Desktop.

Schliesse alle offenen Programme und Browser.
Starte die adwcleaner.exe mit einem Doppelklick.
Klicke auf Löschen.
Bestätige jeweils mit Ok.
Dein Rechner wird neu gestartet, je nach Schwere der Infektion auch mehrmals - das ist normal. Nach dem Neustart öffnet sich eine Textdatei.
Poste mir den Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner[S1].txt.

Schritt 2

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

WICHTIG: Speichere Combofix auf deinen Desktop.
Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und akzeptiere die Endbenutzer-Lizenz.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.
Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 3

Starte bitte die OTL.exe.

Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von AdwCleaner
Log von Combofix
Log von OTL

ALKA889 · 21.03.2013, 10:16

Hallo Leo,

danke für die schnelle Hilfe. Da der Desktop nicht angezeigt wird und, wenn ich den explorer manuell über den Task Manager starte der PC sich aufhängt, werde ich diese Programme auch über den Task Manager vom USB Stick aus starten. Ich hoffe das klappt so.

Hier noch die Log Datei vom Maleware Scan:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.20.10

Windows XP Service Pack 2 x86 FAT32
Internet Explorer 7.0.5730.11
ANDI :: ANDREAS [Administrator]

20.03.2013 22:31:03
MBAM-log-2013-03-21 (09-31-03).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|E:\|F:\|G:\|H:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 283367
Laufzeit: 2 Stunde(n), 17 Minute(n), 29 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.

Infizierte Registrierungswerte: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|64173 (Trojan.Ransom.ED) -> Daten: c:\dokume~1\alluse~1\dxtqipnft.exe -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{04E8C5A9-EB19-CA0A-2180-716EB4DC35AB} (Trojan.Ransom.ED) -> Daten: "C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Cae\faokogu.exe" -> Keine Aktion durchgeführt.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|KB00252781.exe (Trojan.Agent.Gen) -> Daten: "C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\KB00252781.exe" -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 2
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 23
C:\Dokumente und Einstellungen\All Users\dxtqipnft.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Cae\faokogu.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\HANDI\HANDIWIN.exe (Trojan.Scar) -> Keine Aktion durchgeführt.
c:\dokumente und einstellungen\andi\lokale einstellungen\temp\1354828004.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
c:\dokumente und einstellungen\andi\lokale einstellungen\temp\1356735362.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168063.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0166977.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0167970.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0167982.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0167988.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0167994.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168004.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168018.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168023.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168059.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168067.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168077.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168087.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168095.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\memclmon.exe (Trojan.Ransom.ED) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\Kill Bill Screensaver - Die Braut.scr (Trojan.Bifrost) -> Keine Aktion durchgeführt.
C:\WINDOWS\system32\Kill Bill Screensaver.scr (Trojan.Bifrost) -> Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\KB00252781.exe (Trojan.Agent.Gen) -> Keine Aktion durchgeführt.

(Ende)

Edit:

Hab das erste Programm drüber laufen lassen, nur da sich nix getan hat nach dem Neustart (wie auch ohne explorer.exe zu starten) habe ich die manuell gestartet und es hat funktioniert.

Code:

ATTFilter

# AdwCleaner v2.115 - Datei am 21/03/2013 um 10:39:08 erstellt
# Aktualisiert am 17/03/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 2 (32 bits)
# Benutzer : ANDI - ANDREAS
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\ANDI\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Gelöscht mit Neustart : C:\Programme\Gemeinsame Dateien\AVG Secure Search

***** [Registrierungsdatenbank] *****


***** [Internet Browser] *****

-\\ Internet Explorer v7.0.6000.16441

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Google Chrome v25.0.1364.172

Datei : C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Preferences

[OK] Die Datei ist sauber.

*************************

AdwCleaner[S1].txt - [9813 octets] - [21/03/2013 10:28:49]
AdwCleaner[S2].txt - [912 octets] - [21/03/2013 10:39:08]

########## EOF - C:\AdwCleaner[S2].txt - [971 octets] ##########

Das zweite Programm habe ich auch gestartet, es hat mir jedoch gemeldet, dass Avira Antivir noch an ist. Obwohl das auf dem PC garnicht zu finden ist und das eigentliche Virenprogramm McAfee deaktiviert ist. Habe den Scan jedoch trotzdem laufen lassen.

Jedoch sagt er mir nach dem Update der Wiederherstellungskonsole, dass der Zugriff verweigert wurde. Wie kann ich jetzt weiter machen? Avira Antivir ist nicht auf dem PC zu finden und folglich auch nicht zu deaktivieren.

Tausendfache Entschuldigung für den Doppelpost, aber leider kann ich meinen vorherigen Post nicht mehr editieren. (Angemerkt: Wofür ist diese 60 Minuten Regelung sinnvoll?)

Habe Combofix nochmal über den Tastmanager gestartet, nachdem der Explorer abgestürzt ist. Jetzt läuft er und hat folgendes Logfile ausgegeben:^

Combofix Logfile:

Code:

ATTFilter

ComboFix 13-03-20.02 - ANDI 21.03.2013  11:17:44.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.2046.1574 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\ANDI\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition Premium *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Premium *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Premium *Enabled/Updated* {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: McAfee  Anti-Virus und Anti-Spyware *Disabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: McAfee  Firewall *Disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\All Users\dxtqipnft.exe
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\KB00252781.exe
c:\dokumente und einstellungen\ANDI\WINDOWS
c:\windows\IsUn0407.exe
c:\windows\system32\Cache
c:\windows\system32\Cache\20caa20c6327e6f7.fb
c:\windows\system32\Cache\26c630d098e22dd5.fb
c:\windows\system32\Cache\2723aa67eddf3582.fb
c:\windows\system32\Cache\272512937d9e61a4.fb
c:\windows\system32\Cache\287204568329e189.fb
c:\windows\system32\Cache\28bc8f716fd76a47.fb
c:\windows\system32\Cache\31a0997e9a5b5eb3.fb
c:\windows\system32\Cache\32c84fe32bb74d60.fb
c:\windows\system32\Cache\3917078cb68ec657.fb
c:\windows\system32\Cache\4db7c514afb69759.fb
c:\windows\system32\Cache\590ba23ce359fd0c.fb
c:\windows\system32\Cache\610289e025a3ee9a.fb
c:\windows\system32\Cache\651c5d3cdbfb8bd1.fb
c:\windows\system32\Cache\6c59ac5e7e7a3ad0.fb
c:\windows\system32\Cache\6d03dad1035885d3.fb
c:\windows\system32\Cache\95f567698be8a182.fb
c:\windows\system32\Cache\a8556537add6dfc5.fb
c:\windows\system32\Cache\ad10a52aff5e038d.fb
c:\windows\system32\Cache\c1fa887b03019701.fb
c:\windows\system32\Cache\c4d28dca2e7648be.fb
c:\windows\system32\Cache\cf1f0f8ffd5b56d2.fb
c:\windows\system32\Cache\d201ef9910cd39de.fb
c:\windows\system32\Cache\d2e94710a5708128.fb
c:\windows\system32\Cache\d79b9dfe81484ec4.fb
c:\windows\system32\Cache\f998975c9cc711ee.fb
c:\windows\system32\DC120fc7_32.dll
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
c:\windows\unin0407.exe
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-02-21 bis 2013-03-21  ))))))))))))))))))))))))))))))
.
.
2013-03-20 18:23 . 2013-03-20 18:23	--------	d-----w-	c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Malwarebytes
2013-03-20 17:28 . 2013-03-20 17:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-03-20 17:28 . 2013-03-20 18:27	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2013-03-20 17:28 . 2012-12-14 15:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-03-20 17:24 . 2013-03-20 17:24	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-03-20 09:46 . 2013-03-20 09:46	--------	d--h--w-	c:\dokumente und einstellungen\ANDI\Anwendungsdaten\03F9A928
2013-03-20 09:45 . 2013-03-21 09:57	--------	d-----w-	c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Uharity
2013-03-20 09:45 . 2013-03-20 09:45	--------	d-----w-	c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Cae
2013-03-15 04:25 . 2013-03-15 04:25	--------	d-----w-	c:\dokumente und einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Sun
2013-03-12 10:44 . 2001-08-18 03:53	8704	-c--a-w-	c:\windows\system32\dllcache\kbdjpn.dll
2013-03-12 10:44 . 2001-08-18 03:53	8704	----a-w-	c:\windows\system32\kbdjpn.dll
2013-03-12 10:44 . 2001-08-18 03:53	8192	-c--a-w-	c:\windows\system32\dllcache\kbdkor.dll
2013-03-12 10:44 . 2001-08-18 03:53	8192	----a-w-	c:\windows\system32\kbdkor.dll
2013-03-12 10:44 . 2001-08-17 13:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd106.dll
2013-03-12 10:44 . 2001-08-17 13:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101c.dll
2013-03-12 10:44 . 2001-08-17 13:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101b.dll
2013-03-12 10:44 . 2001-08-17 13:55	6144	----a-w-	c:\windows\system32\kbd106.dll
2013-03-12 10:44 . 2001-08-17 13:55	6144	----a-w-	c:\windows\system32\kbd101c.dll
2013-03-12 10:44 . 2001-08-17 13:55	6144	----a-w-	c:\windows\system32\kbd101b.dll
2013-03-12 10:44 . 2001-08-17 13:55	5632	-c--a-w-	c:\windows\system32\dllcache\kbd103.dll
2013-03-12 10:44 . 2001-08-17 13:55	5632	----a-w-	c:\windows\system32\kbd103.dll
2013-03-09 11:42 . 2013-03-09 11:42	--------	d-----w-	C:\Firefox
2013-03-09 11:30 . 2013-03-09 11:30	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-21 10:35 . 2013-03-21 10:34	129536	----a-w-	c:\dokumente und einstellungen\ANDI\Anwendungsdaten\KB00252781.exe
2013-03-12 10:26 . 2013-03-12 10:26	1471222	----a-w-	C:\daten.zip
2013-03-09 11:30 . 2007-07-20 17:09	143872	----a-w-	c:\windows\system32\javacpl.cpl
2013-03-09 11:30 . 2012-05-03 09:14	861088	----a-w-	c:\windows\system32\npdeployJava1.dll
2013-03-09 11:30 . 2011-01-11 15:02	782240	----a-w-	c:\windows\system32\deployJava1.dll
2013-02-28 08:11 . 2012-04-10 08:15	691568	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-28 08:11 . 2011-05-19 04:06	71024	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-18 16:02 . 2012-09-08 08:46	33112	----a-w-	c:\windows\system32\drivers\avgtpx86.sys
2013-02-08 17:33 . 2013-02-08 17:33	15739760	----a-w-	c:\windows\system32\FlashPlayerInstaller.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK]
@="{3c3f3c1a-9153-7c05-f938-622e7003894d}"
[HKEY_CLASSES_ROOT\CLSID\{3c3f3c1a-9153-7c05-f938-622e7003894d}]
2010-04-13 19:11	2872120	----a-w-	c:\programme\McAfee Online Backup\MOBKshell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK2]
@="{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}"
[HKEY_CLASSES_ROOT\CLSID\{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}]
2010-04-13 19:11	2872120	----a-w-	c:\programme\McAfee Online Backup\MOBKshell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK3]
@="{b4caf489-1eec-c617-49ad-8d7088598c06}"
[HKEY_CLASSES_ROOT\CLSID\{b4caf489-1eec-c617-49ad-8d7088598c06}]
2010-04-13 19:11	2872120	----a-w-	c:\programme\McAfee Online Backup\MOBKshell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{04E8C5A9-EB19-CA0A-2180-716EB4DC35AB}"="c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Cae\faokogu.exe" [2007-04-06 156676]
"KB00252781.exe"="c:\dokumente und einstellungen\ANDI\Anwendungsdaten\KB00252781.exe" [2013-03-21 129536]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"NeroCheck"="c:\windows\System32\\NeroCheck.exe" [2001-07-09 155648]
"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2004-12-10 98304]
"EM_EXEC"="c:\progra~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-07-09 28672]
"HostManager"="c:\programme\Gemeinsame Dateien\AOL\1166087665\ee\AOLSoftware.exe" [2006-11-17 50736]
"RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2004-12-10 26112]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-23 8466432]
"nwiz"="nwiz.exe" [2007-07-23 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-23 81920]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"mcui_exe"="c:\programme\McAfee.com\Agent\mcagent.exe" [2012-03-21 1318816]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
.
c:\dokumente und einstellungen\ANDI\Startmenü\Programme\Autostart\
Handicraft-Freigabe.LNK - c:\handi\HANDIWIN.exe [2004-12-10 275456]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0\aoltray.exe [2004-12-10 156784]
InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2006-1-12 114688]
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2004-12-17 169472]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AOL 9.0\\waol.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\1166087665\\ee\\aolsoftware.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Mcafee\\McSvcHost\\McSvHost.exe"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
"%windir%\explorer.exe"= %windir%\explorer.exe
.
R1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx86.sys [08.09.2012 09:46 33112]
R1 mfetdi2k;McAfee Inc. mfetdi2k;c:\windows\system32\drivers\mfetdi2k.sys [17.07.2012 15:09 91168]
R1 MOBKFilter;MOBKFilter;c:\windows\system32\drivers\MOBK.sys [29.10.2012 10:33 54776]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [10.12.2004 17:16 59520]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;"c:\programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [29.10.2012 10:32 214904]
R2 McMPFSvc;McAfee Personal Firewall Service;"c:\programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [29.10.2012 10:32 214904]
R2 McNaiAnn;McAfee VirusScan Announcer;"c:\programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [29.10.2012 10:32 214904]
R2 mfefire;McAfee Firewall Core Service;c:\programme\Gemeinsame Dateien\Mcafee\SystemCore\mfefire.exe [29.10.2012 10:32 161664]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [28.10.2012 18:37 166320]
R2 MOBKbackup;1%;c:\programme\McAfee Online Backup\MOBKbackup.exe [13.04.2010 20:11 229688]
R2 vToolbarUpdater14.2.0;vToolbarUpdater14.2.0;c:\programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe [18.02.2013 17:02 968880]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [24.11.2004 01:00 53632]
R3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [29.10.2012 10:32 57600]
R3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [24.11.2004 01:00 537600]
R3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [29.10.2012 10:32 340920]
R3 mfendiskmp;mfendiskmp;c:\windows\system32\drivers\mfendisk.sys [29.10.2012 10:32 83856]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [10.12.2004 16:24 37568]
S3 DT154_A02;T-Sinus 154data Driver;c:\windows\system32\DRIVERS\TS154USB.sys --> c:\windows\system32\DRIVERS\TS154USB.sys [?]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [13.01.2011 14:54 113280]
S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\drivers\ewusbfake.sys [13.01.2011 15:04 100736]
S3 mfendisk;McAfee Core NDIS Intermediate Filter;c:\windows\system32\drivers\mfendisk.sys [29.10.2012 10:32 83856]
S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [29.10.2012 10:32 87656]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS --> c:\windows\system32\DRIVERS\NETFRITZ.SYS [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 w32n5223;w32n5223 Protocol Driver; [x]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - mfeavfk01
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-03-13 18:52	1629648	----a-w-	c:\programme\Google\Chrome\Application\25.0.1364.172\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-10 08:11]
.
2013-03-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-29 10:16]
.
2013-03-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-29 10:16]
.
2013-03-21 c:\windows\Tasks\rbmonitor.job
- c:\programme\Uniblue\RegistryBooster\rbmonitor.exe [2012-04-11 07:32]
.
2013-03-21 c:\windows\Tasks\RegistryBooster.job
- c:\programme\Uniblue\RegistryBooster\registrybooster.exe [2012-12-27 07:32]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.preislisten.org/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://de.yahoo.com
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://de.search.yahoo.com/search?fr=mcafee&p=%s%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{C67A698C-BE1A-4799-BADC-630DBAEFF498}: NameServer = 192.168.2.1
DPF: {9EBA6AB8-DB90-48F7-A0C1-EC3DAE86220D} - hxxp://xvectormap.ptv.de/xvectormap/PTVxVectorMap30.cab
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
URLSearchHooks-{81017EA9-9AA8-4A6A-9734-7AF40E7D593F} - (no file)
HKLM-Run-vProt - c:\programme\AVG Secure Search\vprot.exe
AddRemove-Adobe Acrobat Reader 3.01 - c:\windows\unin0407.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-21 11:31
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(1504)
c:\progra~1\mcafee\SITEAD~1\saHook.dll
c:\programme\Gemeinsame Dateien\AOL\ACS\WLHook.dll
c:\programme\McAfee Online Backup\MOBKshell.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
c:\programme\Java\jre7\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\System32\wdfmgr.exe
c:\windows\wanmpsvc.exe
c:\programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
c:\programme\Gemeinsame Dateien\McAfee\SystemCore\mcshield.exe
c:\windows\System32\vssvc.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\VTTimer.exe
c:\progra~1\mcafee.com\agent\mcagent.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-03-21  11:41:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-03-21 10:40
.
Vor Suchlauf: 13 Verzeichnis(se), 65.252.249.600 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 66.349.355.008 Bytes frei
.
- - End Of File - - 3C128B01366318CDB9DCAFDF1FC51094

--- --- ---

OTL Logfile

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 21.03.2013 11:43:19 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\ANDI\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,49 Gb Available Physical Memory | 74,32% Memory free
2,18 Gb Paging File | 1,65 Gb Available in Paging File | 75,92% Paging File free
Paging file location(s): C:\pagefile.sys 336 672 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 61,82 Gb Free Space | 82,96% Space Free | Partition Type: NTFS
Drive I: | 1001,26 Mb Total Space | 609,29 Mb Free Space | 60,85% Space Free | Partition Type: FAT32
 
Computer Name: ANDREAS | User Name: ANDI | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.03.20 20:15:56 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ANDI\Desktop\OTL.exe
PRC - [2013.03.09 12:30:32 | 000,170,912 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe
PRC - [2013.02.18 17:02:34 | 000,968,880 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe
PRC - [2012.08.23 11:55:32 | 000,308,424 | ---- | M] (McAfee, Inc.) -- c:\Programme\McAfee\VirusScan\McVsShld.exe
PRC - [2012.07.17 15:09:30 | 000,166,320 | ---- | M] (McAfee, Inc.) -- C:\WINDOWS\system32\mfevtps.exe
PRC - [2012.07.03 09:04:54 | 000,252,848 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2012.05.25 17:07:30 | 000,161,664 | ---- | M] (McAfee, Inc.) -- C:\Programme\Gemeinsame Dateien\Mcafee\SystemCore\mfefire.exe
PRC - [2012.05.25 17:07:04 | 000,166,320 | ---- | M] (McAfee, Inc.) -- C:\Programme\Gemeinsame Dateien\Mcafee\SystemCore\mcshield.exe
PRC - [2012.03.21 21:16:10 | 001,318,816 | ---- | M] (McAfee, Inc.) -- c:\Programme\McAfee.com\Agent\mcagent.exe
PRC - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe
PRC - [2010.04.13 20:11:14 | 000,229,688 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee Online Backup\MOBKbackup.exe
PRC - [2008.11.09 21:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) -- C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
PRC - [2006.11.17 14:16:10 | 000,050,736 | ---- | M] (America Online, Inc.) -- C:\Programme\Gemeinsame Dateien\aol\1166087665\ee\aolsoftware.exe
PRC - [2006.10.23 13:50:35 | 000,046,640 | R--- | M] (AOL LLC) -- C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe
PRC - [2005.03.08 02:33:28 | 000,053,248 | ---- | M] (S3 Graphics, Inc.) -- C:\WINDOWS\system32\VTTimer.exe
PRC - [2004.12.10 17:41:25 | 000,026,112 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Real\RealPlayer\realplay.exe
PRC - [2004.08.04 08:57:53 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2004.01.13 15:20:56 | 000,114,688 | ---- | M] (InterVideo Inc.) -- C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
PRC - [2003.08.27 10:29:46 | 000,065,536 | ---- | M] (America Online, Inc.) -- C:\WINDOWS\wanmpsvc.exe
PRC - [2002.07.09 09:50:00 | 000,028,672 | ---- | M] (Logitech Inc.                    ) -- C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.02.18 17:02:34 | 000,968,880 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe
MOD - [2012.12.18 15:28:26 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2010.04.13 20:11:16 | 000,077,624 | ---- | M] () -- C:\Programme\McAfee Online Backup\librs2.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2013.03.09 12:30:32 | 000,170,912 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2013.02.28 09:11:29 | 000,251,248 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.02.18 17:02:34 | 000,968,880 | ---- | M] () [Auto | Running] -- C:\Programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe -- (vToolbarUpdater14.2.0)
SRV - [2012.08.23 11:55:10 | 000,362,008 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee\VirusScan\mcods.exe -- (McODS)
SRV - [2012.07.17 15:09:30 | 000,166,320 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\WINDOWS\system32\mfevtps.exe -- (mfevtp)
SRV - [2012.05.25 17:07:30 | 000,161,664 | ---- | M] () [Auto | Running] -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\\mfefire.exe -- (mfefire)
SRV - [2012.05.25 17:07:04 | 000,166,320 | ---- | M] () [Auto | Running] -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\\mcshield.exe -- (McShield)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (MSK80Service)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (McProxy)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (McNASvc)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (McNaiAnn)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (mcmscsvc)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (McMPFSvc)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (McAfee SiteAdvisor Service)
SRV - [2010.04.13 20:11:14 | 000,229,688 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee Online Backup\MOBKbackup.exe -- (MOBKbackup)
SRV - [2008.11.09 21:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) [Auto | Running] -- C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe -- (YahooAUService)
SRV - [2006.10.23 13:50:35 | 000,046,640 | R--- | M] (AOL LLC) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe -- (AOL ACS)
SRV - [2003.08.27 10:29:46 | 000,065,536 | ---- | M] (America Online, Inc.) [Auto | Running] -- C:\WINDOWS\wanmpsvc.exe -- (WANMiniportService)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (w32n5223)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\DRIVERS\NETFRITZ.SYS -- (NETFRITZ)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\install4\MSICPL.sys -- (MSICPL)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (mfeavfk01)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\ANDI\LOKALE~1\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\DRIVERS\TS154USB.sys -- (DT154_A02)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - [2013.02.18 17:02:35 | 000,033,112 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
DRV - [2012.07.17 15:09:10 | 000,091,168 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfetdi2k.sys -- (mfetdi2k)
DRV - [2012.07.17 15:07:00 | 000,554,048 | ---- | M] (McAfee, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2012.07.17 15:04:46 | 000,127,992 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeapfk.sys -- (mfeapfk)
DRV - [2012.02.22 13:29:46 | 000,340,920 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfefirek.sys -- (mfefirek)
DRV - [2012.02.22 13:29:46 | 000,180,848 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2012.02.22 13:29:46 | 000,087,656 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mferkdet.sys -- (mferkdet)
DRV - [2012.02.22 13:29:46 | 000,083,856 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfendisk.sys -- (mfendiskmp)
DRV - [2012.02.22 13:29:46 | 000,083,856 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mfendisk.sys -- (mfendisk)
DRV - [2012.02.22 13:29:46 | 000,059,456 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2012.02.22 13:29:46 | 000,057,600 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cfwids.sys -- (cfwids)
DRV - [2010.04.13 20:10:22 | 000,054,776 | ---- | M] (Mozy, Inc.) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\MOBK.sys -- (MOBKFilter)
DRV - [2009.11.04 17:59:38 | 000,113,280 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbnet.sys -- (ewusbnet)
DRV - [2009.11.04 17:59:38 | 000,102,528 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2009.11.04 17:59:38 | 000,100,736 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbfake.sys -- (hwusbfake)
DRV - [2007.05.07 01:00:00 | 000,537,600 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2007.05.07 01:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2006.10.18 10:39:58 | 000,017,920 | R--- | M] (VIA Technologies,Inc) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\xfilt.sys -- (xfilt)
DRV - [2006.10.17 13:22:26 | 000,009,216 | R--- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\videX32.sys -- (videX32)
DRV - [2005.03.09 07:53:00 | 000,036,352 | R--- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2004.12.10 17:41:27 | 000,008,552 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\asctrm.sys -- (ASCTRM)
DRV - [2004.08.04 07:08:21 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2004.07.14 11:54:42 | 000,676,864 | ---- | M] (Aladdin Knowledge Systems) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (hardlock)
DRV - [2003.01.10 16:13:04 | 000,033,588 | ---- | M] (America Online, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wanatw4.sys -- (wanatw)
DRV - [2002.07.09 10:50:00 | 000,070,382 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouFlt2.sys -- (LMouFlt2)
DRV - [2002.07.09 10:50:00 | 000,050,862 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\L8042Pr2.sys -- (l8042pr2)
DRV - [2002.07.09 10:50:00 | 000,006,030 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LKbdFlt2.sys -- (LKbdFlt2)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
DRV - [2000.11.14 00:00:00 | 000,059,520 | ---- | M] (AVM Berlin) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\avmport.sys -- (AVMPORT)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.preislisten.org/
IE - HKCU\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
IE - HKCU\..\SearchScopes,DefaultScope = 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}: "URL" = hxxp://de.search.yahoo.com/search?fr=mcafee&p={searchTerms}
IE - HKCU\..\SearchScopes\{EE2D2084-41F1-4D58-B6F8-FE3F3746EBD2}: "URL" = hxxp://www.google.de/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7SUNA_de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = localhost
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.17.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: c:\progra~1\mcafee\msc\npmcsn~1.dll ()
FF - HKLM\Software\MozillaPlugins\@mcafee.com/SAFFPlugin: C:\Programme\McAfee\SiteAdvisor\npmcffplg32.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{D19CA586-DD6C-4a0a-96F8-14644F340D60}: C:\Programme\Gemeinsame Dateien\McAfee\SystemCore [2013.03.21 11:38:01 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{4ED1F68A-5463-4931-9384-8FFF5ED91D92}: C:\Programme\McAfee\SiteAdvisor [2013.01.14 09:04:04 | 000,000,000 | ---D | M]
 
 
========== Chrome  ==========
 
CHR - homepage: hxxp://www.google.com/
CHR - default_search_provider: Google (Enabled)
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:acceptedSuggestion}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}sourceid=chrome&ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client=chrome&hl={language}&q={searchTerms}
CHR - homepage: hxxp://www.google.com/
CHR - plugin: Shockwave Flash (Enabled) = C:\Programme\Google\Chrome\Application\22.0.1229.95\PepperFlash\pepflashplayer.dll
CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Programme\Google\Chrome\Application\22.0.1229.95\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Programme\Google\Chrome\Application\22.0.1229.95\pdf.dll
CHR - plugin: McAfee SiteAdvisor (Enabled) = C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.60.126.1_0\McChPlg.dll
CHR - plugin: McAfee SiteAdvisor (Enabled) = C:\Programme\McAfee\SiteAdvisor\npmcffplg32.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Programme\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll
CHR - plugin: AVG SiteSafety plugin (Enabled) = C:\Programme\Gemeinsame Dateien\AVG Secure Search\SiteSafetyInstaller\14.2.0\\npsitesafety.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Programme\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll
CHR - plugin: Java(TM) Platform SE 6 U39 (Enabled) = C:\Programme\Java\jre6\bin\plugin2\npjp2.dll
CHR - plugin: Java Deployment Toolkit 6.0.390.4 (Enabled) = C:\WINDOWS\system32\npdeployJava1.dll
CHR - plugin: MetaStream 3 Plugin (Enabled) = C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
CHR - plugin: McAfee SecurityCenter (Enabled) = c:\progra~1\mcafee\msc\npmcsn~1.dll
CHR - Extension: YouTube = C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_0\
CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_0\
CHR - Extension: SiteAdvisor = C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.60.126.1_0\
CHR - Extension: AVG Security Toolbar = C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\ndibdjnfmopecpmkdieinmbadjfpblof\14.2.0.1_0\
CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_0\
 
O1 HOSTS File: ([2013.03.21 11:31:31 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\Gemeinsame Dateien\Mcafee\SystemCore\ScriptSn.20121029103233.dll (McAfee, Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll (Google Inc.)
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe (AOL LLC)
O4 - HKLM..\Run: [EM_EXEC] C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE (Logitech Inc.                    )
O4 - HKLM..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\aol\1166087665\ee\aolsoftware.exe (America Online, Inc.)
O4 - HKLM..\Run: [mcui_exe] C:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [VTTimer] C:\WINDOWS\System32\VTTimer.exe (S3 Graphics, Inc.)
O4 - HKCU..\Run: [{04E8C5A9-EB19-CA0A-2180-716EB4DC35AB}] C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Cae\faokogu.exe (Gotico Ltd.)
O4 - HKCU..\Run: [KB00252781.exe] C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\KB00252781.exe ()
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe (America Online, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe (InterVideo Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe (Logitech)
O4 - Startup: C:\Dokumente und Einstellungen\ANDI\Startmenü\Programme\Autostart\Handicraft-Freigabe.LNK = C:\HANDI\HANDIWIN.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll (Sun Microsystems, Inc.)
O15 - HKCU\..Trusted Domains:   ([]msn in My Computer)
O15 - HKCU\..Trusted Domains: aol.com ([objects] * is out of zone range -  5)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Programme\Yahoo!\Common\Yinsthelper.dll (Installation Support)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} hxxp://www.cult3d.com/download/cult.cab (Cult3D ActiveX Player)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} hxxp://office.microsoft.com/officeupdate/content/opuc.cab (Office Update Installation Engine)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {9EBA6AB8-DB90-48F7-A0C1-EC3DAE86220D} hxxp://xvectormap.ptv.de/xvectormap/PTVxVectorMap30.cab (PTV xVectorMap Plugin 3.0)
O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C67A698C-BE1A-4799-BADC-630DBAEFF498}: NameServer = 192.168.2.1
O18 - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O18 - Protocol\Filter\application/x-mfe-ipt {3EF5086B-5478-4598-A054-786C45D75692} - c:\Programme\McAfee\MSC\McSnIePl.dll (McAfee, Inc.)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.12.10 16:46:26 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.21 11:36:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\McAfee
[2013.03.21 11:07:22 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2013.03.21 11:04:39 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013.03.21 11:04:39 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013.03.21 11:04:39 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013.03.21 11:04:39 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013.03.21 10:55:03 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.03.21 10:54:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2013.03.21 10:38:21 | 005,042,364 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\ANDI\Desktop\ComboFix.exe
[2013.03.21 10:38:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Desktop\Scanner
[2013.03.21 10:37:51 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ANDI\Desktop\OTL.exe
[2013.03.20 19:23:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Malwarebytes
[2013.03.20 18:28:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.03.20 18:28:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.03.20 18:28:14 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.03.20 18:28:14 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.03.20 10:46:06 | 000,000,000 | -H-D | C] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\03F9A928
[2013.03.20 10:45:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Uharity
[2013.03.20 10:45:33 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Cae
[2013.03.20 10:44:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\OnlineAnfrageReservierung(DE)
[2013.03.15 05:25:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Sun
[2013.03.14 07:42:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\BVLeipzigRechnung
[2013.03.13 10:49:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Duschelement Rioleto Wedi
[2013.03.12 17:44:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Beyer Hamburg Bad_Variante2013
[2013.03.12 11:17:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Thurau20130107ElektroSanitär
[2013.03.12 11:16:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba 2013 Scheffelstr loerzer
[2013.03.11 07:54:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\FliesenplanWhgFam.Brixle,22.01.2013
[2013.03.09 12:42:11 | 000,000,000 | ---D | C] -- C:\Firefox
[2013.03.06 10:19:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\FZL Jahrespreisvereinbarung2013KG01
[2013.03.06 09:28:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Rankestr
[2013.03.05 11:41:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\BV Biberach Pflegeheim
[2013.02.28 09:15:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Chrome
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.21 11:35:05 | 000,129,536 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\KB00252781.exe
[2013.03.21 11:31:31 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013.03.21 11:31:05 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.03.21 11:31:01 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013.03.21 11:31:01 | 000,000,290 | ---- | M] () -- C:\WINDOWS\tasks\RegistryBooster.job
[2013.03.21 11:31:01 | 000,000,254 | ---- | M] () -- C:\WINDOWS\tasks\rbmonitor.job
[2013.03.21 11:31:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.03.21 11:30:11 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.03.21 11:07:33 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2013.03.21 10:59:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013.03.21 10:03:04 | 005,042,364 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\ANDI\Desktop\ComboFix.exe
[2013.03.21 10:02:24 | 000,609,993 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Desktop\adwcleaner.exe
[2013.03.20 20:21:15 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\defogger_reenable
[2013.03.20 20:15:56 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ANDI\Desktop\OTL.exe
[2013.03.20 19:27:19 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.03.20 10:46:32 | 000,963,788 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Aktennotiz18.03.2013-BauberatungNr.38.pdf
[2013.03.20 10:44:53 | 000,029,400 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\OnlineAnfrageReservierung(DE).zip
[2013.03.20 10:03:41 | 002,260,826 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\20130317_143641.jpg
[2013.03.20 08:51:51 | 001,324,317 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Hochfeste weber_fug_873.pdf
[2013.03.20 08:50:20 | 000,015,490 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\A Hanz bad köstritz.pdf
[2013.03.15 05:25:02 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013.03.14 16:14:38 | 001,244,263 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\BA)_Kroeller-F212-AndreasFliesen(802692)_offen_Brief.rtf.pdf
[2013.03.14 12:24:19 | 000,005,881 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\preis dmk argelith.pdf
[2013.03.14 10:52:25 | 000,017,750 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\wklnhst.dat
[2013.03.14 10:52:08 | 000,035,840 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Wert -consult 2013 Fliese
[2013.03.14 08:58:01 | 000,020,035 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\A wert consult 2013.pdf
[2013.03.14 07:42:07 | 003,729,266 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\BVLeipzigRechnung.zip
[2013.03.13 19:56:35 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2013.03.13 10:52:49 | 000,017,201 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Angebot131664078,13.03.2013.pdf
[2013.03.13 10:19:48 | 000,790,906 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba Ranke mehnert Bad,Fuboaufbau.pdf
[2013.03.12 17:44:17 | 001,079,504 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Beyer Hamburg Bad_Variante2013.zip
[2013.03.12 17:38:54 | 000,077,306 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\HA3010258.pdf
[2013.03.12 16:04:35 | 000,006,088 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Preisanfrage Hayen Ranke 14.pdf
[2013.03.12 11:26:25 | 001,471,222 | ---- | M] () -- C:\daten.zip
[2013.03.12 11:17:55 | 001,836,219 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Thurau20130107ElektroSanitär.zip
[2013.03.12 11:16:10 | 007,442,959 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba 2013 Scheffelstr loerzer.zip
[2013.03.11 07:54:46 | 001,132,217 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\FliesenplanWhgFam.Brixle,22.01.2013.zip
[2013.03.06 10:19:45 | 000,663,654 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\FZL Jahrespreisvereinbarung2013KG01.zip
[2013.03.06 09:28:23 | 007,493,440 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Rankestr.zip
[2013.03.06 09:23:33 | 005,719,259 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba Ranke 14 vormontage_twinline_de.pdf
[2013.02.27 17:32:52 | 000,016,058 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\opitz 2013.pdf
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.03.21 11:34:23 | 000,129,536 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\KB00252781.exe
[2013.03.21 11:07:32 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2013.03.21 11:07:26 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2013.03.21 11:04:39 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2013.03.21 11:04:39 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2013.03.21 11:04:39 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2013.03.21 11:04:39 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2013.03.21 11:04:39 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2013.03.21 10:37:38 | 000,609,993 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Desktop\adwcleaner.exe
[2013.03.20 20:21:15 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\defogger_reenable
[2013.03.20 18:28:19 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.03.20 10:46:19 | 000,963,788 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Aktennotiz18.03.2013-BauberatungNr.38.pdf
[2013.03.20 10:44:52 | 000,029,400 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\OnlineAnfrageReservierung(DE).zip
[2013.03.20 08:51:34 | 001,324,317 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Hochfeste weber_fug_873.pdf
[2013.03.20 08:19:17 | 002,260,826 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\20130317_143641.jpg
[2013.03.14 16:14:22 | 001,244,263 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\BA)_Kroeller-F212-AndreasFliesen(802692)_offen_Brief.rtf.pdf
[2013.03.14 12:24:18 | 000,005,881 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\preis dmk argelith.pdf
[2013.03.14 10:52:07 | 000,035,840 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Wert -consult 2013 Fliese
[2013.03.14 08:57:59 | 000,020,035 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\A wert consult 2013.pdf
[2013.03.14 07:41:20 | 003,729,266 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\BVLeipzigRechnung.zip
[2013.03.13 10:52:48 | 000,017,201 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Angebot131664078,13.03.2013.pdf
[2013.03.13 10:19:37 | 000,790,906 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba Ranke mehnert Bad,Fuboaufbau.pdf
[2013.03.12 17:44:02 | 001,079,504 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Beyer Hamburg Bad_Variante2013.zip
[2013.03.12 17:38:53 | 000,077,306 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\HA3010258.pdf
[2013.03.12 16:04:34 | 000,006,088 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Preisanfrage Hayen Ranke 14.pdf
[2013.03.12 11:26:13 | 001,471,222 | ---- | C] () -- C:\daten.zip
[2013.03.12 11:17:31 | 001,836,219 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Thurau20130107ElektroSanitär.zip
[2013.03.12 11:14:24 | 007,442,959 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba 2013 Scheffelstr loerzer.zip
[2013.03.11 07:54:32 | 001,132,217 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\FliesenplanWhgFam.Brixle,22.01.2013.zip
[2013.03.06 10:19:36 | 000,663,654 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\FZL Jahrespreisvereinbarung2013KG01.zip
[2013.03.06 09:26:49 | 007,493,440 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Rankestr.zip
[2013.03.06 09:22:20 | 005,719,259 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba Ranke 14 vormontage_twinline_de.pdf
[2013.03.05 12:26:35 | 000,015,490 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\A Hanz bad köstritz.pdf
[2013.02.28 09:15:37 | 000,001,777 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2013.02.27 17:32:51 | 000,016,058 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\opitz 2013.pdf
[2007.07.26 15:44:49 | 000,017,750 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\wklnhst.dat
[2006.10.13 18:13:01 | 000,120,286 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
[2006.02.09 12:04:14 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2005.07.25 16:11:44 | 000,000,459 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\index.htm
[2005.06.07 16:16:34 | 000,000,784 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\mpauth.dat
[2005.03.02 16:47:09 | 000,036,352 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.02.25 17:03:27 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2005.02.25 17:02:18 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2006.10.23 16:34:37 | 001,497,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2004.08.04 08:57:18 | 000,472,064 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2004.08.04 08:57:37 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.09.08 09:43:54 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2011.01.13 15:13:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2006.11.27 07:57:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xVectorMap
[2012.07.30 08:40:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{6AD8E59C-250C-4201-B5BA-56ADEF76FF46}
[2013.03.21 11:35:31 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\03F9A928
[2013.03.20 10:45:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Cae
[2005.01.14 11:13:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\FRITZ!
[2006.01.12 16:15:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\InterVideo
[2007.06.04 09:53:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\klickTel
[2005.10.16 09:48:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Leadertech
[2005.10.01 17:41:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\MGI
[2009.01.20 16:05:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\TeamViewer
[2013.03.21 11:50:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Uharity
[2012.04.11 09:05:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Uniblue
[2011.01.13 14:54:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Vodafone
[2011.01.13 16:55:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Vodafone Mobile Connect
 
========== Purity Check ==========
 
 

< End of report >

--- --- ---

Nachdem der ComboFix drüber gelaufen ist, hat sich der PC auch wieder ganz normal hochgefahren und der Desktop war wieder da. Danke erstmal dafür

aharonov · 21.03.2013, 13:35

Hallo,

da ist aber schon noch einiges stehen geblieben..

Schritt 1

Hinweis für Mitleser:
Folgendes ComboFix Skript ist ausschliesslich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Lösche die vorhandene Combofix.exe von deinem Desktop und lade das Programm von folgenden Download-Spiegel neu herunter: Link.
Speichere es erneut auf den Desktop (wichtig!).
Drücke die {Windows} + R Taste, schreibe notepad in das Ausführen Fenster und drücke OK.

Kopiere nun den Text aus der folgenden Codebox komplett in das leere Textdokument.

Code:

ATTFilter

http://www.trojaner-board.de/132533-virus-hotel-de-spam-pdf-format-explorer-exe-oeffnet-mehr-automatisch.html#post1032525

Collect::
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Cae\faokogu.exe

Folder::
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\03F9A928
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Uharity
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Cae

File::
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\KB00252781.exe

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"{04E8C5A9-EB19-CA0A-2180-716EB4DC35AB}"=-
"KB00252781.exe"=-

Speichere dies als CFScript.txt auf deinen Desktop.
Wichtig: Stelle deine Antiviren-Software temporär ab. Diese kann ComboFix bei der Arbeit behindern.
Danach wieder anstellen nicht vergessen!
Schliesse alle anderen laufenden Programme, damit ComboFix ungehindert arbeiten kann.
Ziehe CFScript.txt in die ComboFix.exe wie in diesem Bild:
Mache nichts am Computer, bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.
Zum Schluss wird Combofix Dateien zur Analyse einschicken wollen. Folge einfach den Anweisungen, um dies zuzulassen.
Wenn ComboFix fertig ist, wird es ein Log erstellen (C:\ComboFix.txt).
Bitte füge den Inhalt dieses Logs in deine Antwort ein.

Schritt 2

Falls noch nicht vorhanden, lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

ATTFilter

activex
netsvcs
msconfig
%SYSTEMDRIVE%\*.
%PROGRAMFILES%\*.exe
%LOCALAPPDATA%\*.exe
%systemroot%\*. /mp /s
%windir%\installer\*. /5
%localappdata%\*. /5
CREATERESTOREPOINT

Schliesse bitte nun alle anderen Programme.
Klicke nun auf den Quick Scan Button.
Kopiere danach den Inhalt von OTL.txt hier in deinen Thread.

Bitte poste in deiner nächsten Antwort:

Log von Combofix
Log von OTL

ALKA889 · 21.03.2013, 16:24

Schritt 1:

Code:

ATTFilter

ComboFix 13-03-20.02 - ANDI 21.03.2013  15:38:15.2.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.2046.1593 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\ANDI\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\ANDI\Desktop\CFScript.txt
AV: Avira AntiVir PersonalEdition Premium *Enabled/Updated* {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Premium *Enabled/Updated* {804E5358-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Premium *Enabled/Updated* {804E5358-FFA4-00EB-0D24-347CA8A3377C}
AV: McAfee  Anti-Virus und Anti-Spyware *Disabled/Updated* {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}
FW: McAfee  Firewall *Disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}
.
FILE ::
"c:\dokumente und einstellungen\ANDI\Anwendungsdaten\KB00252781.exe"
.
file zipped: c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Cae\faokogu.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\03F9A928
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\03F9A928\03F9A928.DAT
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Cae
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Cae\faokogu.exe
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\KB00252781.exe
c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Uharity
c:\windows\system32\dllcache\wmpvis.dll
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-02-21 bis 2013-03-21  ))))))))))))))))))))))))))))))
.
.
2013-03-20 18:23 . 2013-03-20 18:23	--------	d-----w-	c:\dokumente und einstellungen\ANDI\Anwendungsdaten\Malwarebytes
2013-03-20 17:28 . 2013-03-20 17:28	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-03-20 17:28 . 2013-03-20 18:27	--------	d-----w-	c:\programme\Malwarebytes' Anti-Malware
2013-03-20 17:28 . 2012-12-14 15:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-03-20 17:24 . 2013-03-20 17:24	--------	d-----w-	c:\dokumente und einstellungen\Administrator
2013-03-15 04:25 . 2013-03-15 04:25	--------	d-----w-	c:\dokumente und einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Sun
2013-03-12 10:44 . 2001-08-18 03:53	8704	-c--a-w-	c:\windows\system32\dllcache\kbdjpn.dll
2013-03-12 10:44 . 2001-08-18 03:53	8704	----a-w-	c:\windows\system32\kbdjpn.dll
2013-03-12 10:44 . 2001-08-18 03:53	8192	-c--a-w-	c:\windows\system32\dllcache\kbdkor.dll
2013-03-12 10:44 . 2001-08-18 03:53	8192	----a-w-	c:\windows\system32\kbdkor.dll
2013-03-12 10:44 . 2001-08-17 13:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd106.dll
2013-03-12 10:44 . 2001-08-17 13:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101c.dll
2013-03-12 10:44 . 2001-08-17 13:55	6144	-c--a-w-	c:\windows\system32\dllcache\kbd101b.dll
2013-03-12 10:44 . 2001-08-17 13:55	6144	----a-w-	c:\windows\system32\kbd106.dll
2013-03-12 10:44 . 2001-08-17 13:55	6144	----a-w-	c:\windows\system32\kbd101c.dll
2013-03-12 10:44 . 2001-08-17 13:55	6144	----a-w-	c:\windows\system32\kbd101b.dll
2013-03-12 10:44 . 2001-08-17 13:55	5632	-c--a-w-	c:\windows\system32\dllcache\kbd103.dll
2013-03-12 10:44 . 2001-08-17 13:55	5632	----a-w-	c:\windows\system32\kbd103.dll
2013-03-09 11:42 . 2013-03-09 11:42	--------	d-----w-	C:\Firefox
2013-03-09 11:30 . 2013-03-09 11:30	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-12 10:26 . 2013-03-12 10:26	1471222	----a-w-	C:\daten.zip
2013-03-09 11:30 . 2007-07-20 17:09	143872	----a-w-	c:\windows\system32\javacpl.cpl
2013-03-09 11:30 . 2012-05-03 09:14	861088	----a-w-	c:\windows\system32\npdeployJava1.dll
2013-03-09 11:30 . 2011-01-11 15:02	782240	----a-w-	c:\windows\system32\deployJava1.dll
2013-02-28 08:11 . 2012-04-10 08:15	691568	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-02-28 08:11 . 2011-05-19 04:06	71024	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-02-18 16:02 . 2012-09-08 08:46	33112	----a-w-	c:\windows\system32\drivers\avgtpx86.sys
2013-02-08 17:33 . 2013-02-08 17:33	15739760	----a-w-	c:\windows\system32\FlashPlayerInstaller.exe
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK]
@="{3c3f3c1a-9153-7c05-f938-622e7003894d}"
[HKEY_CLASSES_ROOT\CLSID\{3c3f3c1a-9153-7c05-f938-622e7003894d}]
2010-04-13 19:11	2872120	----a-w-	c:\programme\McAfee Online Backup\MOBKshell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK2]
@="{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}"
[HKEY_CLASSES_ROOT\CLSID\{e6ea1d7d-144e-b977-98c4-84c53c1a69d0}]
2010-04-13 19:11	2872120	----a-w-	c:\programme\McAfee Online Backup\MOBKshell.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\MOBK3]
@="{b4caf489-1eec-c617-49ad-8d7088598c06}"
[HKEY_CLASSES_ROOT\CLSID\{b4caf489-1eec-c617-49ad-8d7088598c06}]
2010-04-13 19:11	2872120	----a-w-	c:\programme\McAfee Online Backup\MOBKshell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"VTTimer"="VTTimer.exe" [2005-03-08 53248]
"NeroCheck"="c:\windows\System32\\NeroCheck.exe" [2001-07-09 155648]
"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 70952]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2004-12-10 98304]
"EM_EXEC"="c:\progra~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-07-09 28672]
"HostManager"="c:\programme\Gemeinsame Dateien\AOL\1166087665\ee\AOLSoftware.exe" [2006-11-17 50736]
"RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2004-12-10 26112]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-07-23 8466432]
"nwiz"="nwiz.exe" [2007-07-23 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-07-23 81920]
"Adobe ARM"="c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
"mcui_exe"="c:\programme\McAfee.com\Agent\mcagent.exe" [2012-03-21 1318816]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]
.
c:\dokumente und einstellungen\ANDI\Startmenü\Programme\Autostart\
Handicraft-Freigabe.LNK - c:\handi\HANDIWIN.exe [2004-12-10 275456]
.
c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\
AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0\aoltray.exe [2004-12-10 156784]
InterVideo WinCinema Manager.lnk - c:\programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2006-1-12 114688]
Logitech Desktop Messenger.lnk - c:\programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2004-12-17 169472]
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AOL 9.0\\waol.exe"=
"c:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Gemeinsame Dateien\\aol\\1166087665\\ee\\aolsoftware.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Mcafee\\McSvcHost\\McSvHost.exe"=
"c:\\WINDOWS\\system32\\msiexec.exe"=
"%windir%\explorer.exe"= %windir%\explorer.exe
.
R1 avgtp;avgtp;c:\windows\system32\drivers\avgtpx86.sys [08.09.2012 09:46 33112]
R1 mfetdi2k;McAfee Inc. mfetdi2k;c:\windows\system32\drivers\mfetdi2k.sys [17.07.2012 15:09 91168]
R1 MOBKFilter;MOBKFilter;c:\windows\system32\drivers\MOBK.sys [29.10.2012 10:33 54776]
R2 AVMPORT;AVMPORT;c:\windows\system32\drivers\avmport.sys [10.12.2004 17:16 59520]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;"c:\programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [29.10.2012 10:32 214904]
R2 McMPFSvc;McAfee Personal Firewall Service;"c:\programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [29.10.2012 10:32 214904]
R2 McNaiAnn;McAfee VirusScan Announcer;"c:\programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe" /McCoreSvc [29.10.2012 10:32 214904]
R2 mfefire;McAfee Firewall Core Service;c:\programme\Gemeinsame Dateien\Mcafee\SystemCore\mfefire.exe [29.10.2012 10:32 161664]
R2 mfevtp;McAfee Validation Trust Protection Service;c:\windows\system32\mfevtps.exe [28.10.2012 18:37 166320]
R2 MOBKbackup;1%;c:\programme\McAfee Online Backup\MOBKbackup.exe [13.04.2010 20:11 229688]
R2 vToolbarUpdater14.2.0;vToolbarUpdater14.2.0;c:\programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe [18.02.2013 17:02 968880]
R3 AVMCOWAN;AVMCOWAN;c:\windows\system32\drivers\avmcowan.sys [24.11.2004 01:00 53632]
R3 cfwids;McAfee Inc. cfwids;c:\windows\system32\drivers\cfwids.sys [29.10.2012 10:32 57600]
R3 fpcibase;FRITZ!Card PCI;c:\windows\system32\drivers\fpcibase.sys [24.11.2004 01:00 537600]
R3 mfefirek;McAfee Inc. mfefirek;c:\windows\system32\drivers\mfefirek.sys [29.10.2012 10:32 340920]
R3 mfendiskmp;mfendiskmp;c:\windows\system32\drivers\mfendisk.sys [29.10.2012 10:32 83856]
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;c:\windows\system32\drivers\avmwan.sys [10.12.2004 16:24 37568]
S3 DT154_A02;T-Sinus 154data Driver;c:\windows\system32\DRIVERS\TS154USB.sys --> c:\windows\system32\DRIVERS\TS154USB.sys [?]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [13.01.2011 14:54 113280]
S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\drivers\ewusbfake.sys [13.01.2011 15:04 100736]
S3 mfendisk;McAfee Core NDIS Intermediate Filter;c:\windows\system32\drivers\mfendisk.sys [29.10.2012 10:32 83856]
S3 mferkdet;McAfee Inc. mferkdet;c:\windows\system32\drivers\mferkdet.sys [29.10.2012 10:32 87656]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;c:\windows\system32\DRIVERS\NETFRITZ.SYS --> c:\windows\system32\DRIVERS\NETFRITZ.SYS [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]
S3 w32n5223;w32n5223 Protocol Driver; [x]
.
--- Andere Dienste/Treiber im Speicher ---
.
*Deregistered* - mfeavfk01
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-03-13 18:52	1629648	----a-w-	c:\programme\Google\Chrome\Application\25.0.1364.172\Installer\chrmstp.exe
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-21 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-10 08:11]
.
2013-03-21 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-29 10:16]
.
2013-03-21 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-01-29 10:16]
.
2013-03-21 c:\windows\Tasks\rbmonitor.job
- c:\programme\Uniblue\RegistryBooster\rbmonitor.exe [2012-04-11 07:32]
.
2013-03-21 c:\windows\Tasks\RegistryBooster.job
- c:\programme\Uniblue\RegistryBooster\registrybooster.exe [2012-12-27 07:32]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.preislisten.org/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
mStart Page = hxxp://de.yahoo.com
uInternet Settings,ProxyOverride = localhost
uSearchURL,(Default) = hxxp://de.search.yahoo.com/search?fr=mcafee&p=%s%s
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{C67A698C-BE1A-4799-BADC-630DBAEFF498}: NameServer = 192.168.2.1
DPF: {9EBA6AB8-DB90-48F7-A0C1-EC3DAE86220D} - hxxp://xvectormap.ptv.de/xvectormap/PTVxVectorMap30.cab
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-21 16:07
Windows 5.1.2600 Service Pack 2 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_171_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
.
- - - - - - - > 'explorer.exe'(2448)
c:\progra~1\mcafee\SITEAD~1\saHook.dll
c:\programme\Gemeinsame Dateien\AOL\ACS\WLHook.dll
c:\programme\McAfee Online Backup\MOBKshell.dll
c:\progra~1\Logitech\MOUSEW~1\SYSTEM\LGMOUSHK.dll
c:\windows\system32\browselc.dll
c:\programme\Gemeinsame Dateien\McAfee\SystemCore\ScriptSn.20121029103233.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
c:\programme\Java\jre7\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\System32\wdfmgr.exe
c:\windows\wanmpsvc.exe
c:\programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
c:\programme\Gemeinsame Dateien\McAfee\SystemCore\mcshield.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\VTTimer.exe
c:\windows\system32\RUNDLL32.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2013-03-21  16:12:56 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2013-03-21 15:12
ComboFix2.txt  2013-03-21 10:41
.
Vor Suchlauf: 14 Verzeichnis(se), 66.205.941.760 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 66.332.151.808 Bytes frei
.
- - End Of File - - 0907F75BC9C0CC8D16B454A88738E3F2
Hochladen war erfolgreich

Schritt 2:

Code:

ATTFilter

OTL logfile created on: 21.03.2013 16:17:19 - Run 3
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Dokumente und Einstellungen\ANDI\Desktop
Windows XP Home Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.11)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
2,00 Gb Total Physical Memory | 1,51 Gb Available Physical Memory | 75,69% Memory free
2,18 Gb Paging File | 1,56 Gb Available in Paging File | 71,68% Paging File free
Paging file location(s): C:\pagefile.sys 336 672 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 74,52 Gb Total Space | 61,79 Gb Free Space | 82,92% Space Free | Partition Type: NTFS
 
Computer Name: ANDREAS | User Name: ANDI | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.03.20 20:15:56 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ANDI\Desktop\OTL.exe
PRC - [2013.03.11 01:22:07 | 001,274,320 | ---- | M] (Google Inc.) -- C:\Programme\Google\Chrome\Application\chrome.exe
PRC - [2013.03.09 12:30:32 | 000,170,912 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe
PRC - [2013.02.18 17:02:34 | 000,968,880 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe
PRC - [2012.07.17 15:09:30 | 000,166,320 | ---- | M] (McAfee, Inc.) -- C:\WINDOWS\system32\mfevtps.exe
PRC - [2012.07.03 09:04:54 | 000,252,848 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2012.05.25 17:07:30 | 000,161,664 | ---- | M] (McAfee, Inc.) -- C:\Programme\Gemeinsame Dateien\Mcafee\SystemCore\mfefire.exe
PRC - [2012.05.25 17:07:04 | 000,166,320 | ---- | M] (McAfee, Inc.) -- C:\Programme\Gemeinsame Dateien\Mcafee\SystemCore\mcshield.exe
PRC - [2012.03.21 21:16:10 | 001,318,816 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee.com\Agent\mcagent.exe
PRC - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe
PRC - [2010.04.13 20:11:14 | 000,229,688 | ---- | M] (McAfee, Inc.) -- C:\Programme\McAfee Online Backup\MOBKbackup.exe
PRC - [2008.11.09 21:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) -- C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe
PRC - [2007.06.21 13:42:56 | 000,070,952 | R--- | M] (AOL LLC) -- C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe
PRC - [2006.11.17 14:16:10 | 000,050,736 | ---- | M] (America Online, Inc.) -- C:\Programme\Gemeinsame Dateien\aol\1166087665\ee\aolsoftware.exe
PRC - [2006.10.23 13:50:35 | 000,046,640 | R--- | M] (AOL LLC) -- C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe
PRC - [2005.03.08 02:33:28 | 000,053,248 | ---- | M] (S3 Graphics, Inc.) -- C:\WINDOWS\system32\VTTimer.exe
PRC - [2004.12.10 17:41:25 | 000,026,112 | ---- | M] (RealNetworks, Inc.) -- C:\Programme\Real\RealPlayer\realplay.exe
PRC - [2004.08.04 08:57:53 | 001,035,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2004.01.13 15:20:56 | 000,114,688 | ---- | M] (InterVideo Inc.) -- C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
PRC - [2003.08.27 10:29:46 | 000,065,536 | ---- | M] (America Online, Inc.) -- C:\WINDOWS\wanmpsvc.exe
PRC - [2002.07.09 09:50:00 | 000,028,672 | ---- | M] (Logitech Inc.                    ) -- C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.03.11 01:22:06 | 000,459,728 | ---- | M] () -- C:\Programme\Google\Chrome\Application\25.0.1364.172\ppgooglenaclpluginchrome.dll
MOD - [2013.03.11 01:22:05 | 012,662,224 | ---- | M] () -- C:\Programme\Google\Chrome\Application\25.0.1364.172\PepperFlash\pepflashplayer.dll
MOD - [2013.03.11 01:22:04 | 004,050,896 | ---- | M] () -- C:\Programme\Google\Chrome\Application\25.0.1364.172\pdf.dll
MOD - [2013.03.11 01:21:16 | 001,552,848 | ---- | M] () -- C:\Programme\Google\Chrome\Application\25.0.1364.172\ffmpegsumo.dll
MOD - [2013.02.18 17:02:34 | 000,968,880 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe
MOD - [2010.04.13 20:11:16 | 000,077,624 | ---- | M] () -- C:\Programme\McAfee Online Backup\librs2.dll
MOD - [2004.08.04 08:57:25 | 000,014,336 | ---- | M] () -- C:\WINDOWS\system32\msdmo.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2013.03.09 12:30:32 | 000,170,912 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2013.02.28 09:11:29 | 000,251,248 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.02.18 17:02:34 | 000,968,880 | ---- | M] () [Auto | Running] -- C:\Programme\Gemeinsame Dateien\AVG Secure Search\vToolbarUpdater\14.2.0\ToolbarUpdater.exe -- (vToolbarUpdater14.2.0)
SRV - [2012.08.23 11:55:10 | 000,362,008 | ---- | M] (McAfee, Inc.) [On_Demand | Stopped] -- C:\Programme\McAfee\VirusScan\mcods.exe -- (McODS)
SRV - [2012.07.17 15:09:30 | 000,166,320 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\WINDOWS\system32\mfevtps.exe -- (mfevtp)
SRV - [2012.05.25 17:07:30 | 000,161,664 | ---- | M] () [Auto | Running] -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\\mfefire.exe -- (mfefire)
SRV - [2012.05.25 17:07:04 | 000,166,320 | ---- | M] () [Auto | Running] -- C:\Programme\Gemeinsame Dateien\McAfee\SystemCore\\mcshield.exe -- (McShield)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (MSK80Service)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (McProxy)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (McNASvc)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (McNaiAnn)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (mcmscsvc)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (McMPFSvc)
SRV - [2011.01.27 18:28:14 | 000,214,904 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\Mcafee\McSvcHost\McSvHost.exe -- (McAfee SiteAdvisor Service)
SRV - [2010.04.13 20:11:14 | 000,229,688 | ---- | M] (McAfee, Inc.) [Auto | Running] -- C:\Programme\McAfee Online Backup\MOBKbackup.exe -- (MOBKbackup)
SRV - [2008.11.09 21:48:14 | 000,602,392 | ---- | M] (Yahoo! Inc.) [Auto | Running] -- C:\Programme\Yahoo!\SoftwareUpdate\YahooAUService.exe -- (YahooAUService)
SRV - [2006.10.23 13:50:35 | 000,046,640 | R--- | M] (AOL LLC) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe -- (AOL ACS)
SRV - [2003.08.27 10:29:46 | 000,065,536 | ---- | M] (America Online, Inc.) [Auto | Running] -- C:\WINDOWS\wanmpsvc.exe -- (WANMiniportService)
SRV - [2003.07.28 12:28:22 | 000,089,136 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (w32n5223)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\DRIVERS\NETFRITZ.SYS -- (NETFRITZ)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\install4\MSICPL.sys -- (MSICPL)
DRV - File not found [Kernel | On_Demand | Unknown] --  -- (mfeavfk01)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\DOKUME~1\ANDI\LOKALE~1\Temp\mbr.sys -- (mbr)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- D:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\DRIVERS\TS154USB.sys -- (DT154_A02)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - File not found [Kernel | On_Demand | Running] -- C:\ComboFix\catchme.sys -- (catchme)
DRV - [2013.02.18 17:02:35 | 000,033,112 | ---- | M] (AVG Technologies) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
DRV - [2012.07.17 15:09:10 | 000,091,168 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfetdi2k.sys -- (mfetdi2k)
DRV - [2012.07.17 15:07:00 | 000,554,048 | ---- | M] (McAfee, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk)
DRV - [2012.07.17 15:04:46 | 000,127,992 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeapfk.sys -- (mfeapfk)
DRV - [2012.02.22 13:29:46 | 000,340,920 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfefirek.sys -- (mfefirek)
DRV - [2012.02.22 13:29:46 | 000,180,848 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (mfeavfk)
DRV - [2012.02.22 13:29:46 | 000,087,656 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mferkdet.sys -- (mferkdet)
DRV - [2012.02.22 13:29:46 | 000,083,856 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfendisk.sys -- (mfendiskmp)
DRV - [2012.02.22 13:29:46 | 000,083,856 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mfendisk.sys -- (mfendisk)
DRV - [2012.02.22 13:29:46 | 000,059,456 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (mfebopk)
DRV - [2012.02.22 13:29:46 | 000,057,600 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\cfwids.sys -- (cfwids)
DRV - [2010.04.13 20:10:22 | 000,054,776 | ---- | M] (Mozy, Inc.) [File_System | System | Running] -- C:\WINDOWS\system32\drivers\MOBK.sys -- (MOBKFilter)
DRV - [2009.11.04 17:59:38 | 000,113,280 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbnet.sys -- (ewusbnet)
DRV - [2009.11.04 17:59:38 | 000,102,528 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2009.11.04 17:59:38 | 000,100,736 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ewusbfake.sys -- (hwusbfake)
DRV - [2007.05.07 01:00:00 | 000,537,600 | ---- | M] (AVM Berlin) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\fpcibase.sys -- (fpcibase)
DRV - [2007.05.07 01:00:00 | 000,053,632 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\avmcowan.sys -- (AVMCOWAN)
DRV - [2006.10.18 10:39:58 | 000,017,920 | R--- | M] (VIA Technologies,Inc) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\xfilt.sys -- (xfilt)
DRV - [2006.10.17 13:22:26 | 000,009,216 | R--- | M] (VIA Technologies, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\system32\drivers\videX32.sys -- (videX32)
DRV - [2005.03.09 07:53:00 | 000,036,352 | R--- | M] (Advanced Micro Devices) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\AmdK8.sys -- (AmdK8)
DRV - [2004.12.10 17:41:27 | 000,008,552 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto | Running] -- C:\WINDOWS\System32\drivers\asctrm.sys -- (ASCTRM)
DRV - [2004.08.04 07:08:21 | 000,010,624 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\gameenum.sys -- (gameenum)
DRV - [2004.07.14 11:54:42 | 000,676,864 | ---- | M] (Aladdin Knowledge Systems) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\hardlock.sys -- (hardlock)
DRV - [2003.01.10 16:13:04 | 000,033,588 | ---- | M] (America Online, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\wanatw4.sys -- (wanatw)
DRV - [2002.07.09 10:50:00 | 000,070,382 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LMouFlt2.sys -- (LMouFlt2)
DRV - [2002.07.09 10:50:00 | 000,050,862 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\L8042Pr2.sys -- (l8042pr2)
DRV - [2002.07.09 10:50:00 | 000,006,030 | ---- | M] (Logitech, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\LKbdFlt2.sys -- (LKbdFlt2)
DRV - [2001.08.17 12:13:48 | 000,037,568 | ---- | M] (AVM GmbH) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\avmwan.sys -- (AVMWAN)
DRV - [2000.11.14 00:00:00 | 000,059,520 | ---- | M] (AVM Berlin) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\avmport.sys -- (AVMPORT)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://de.yahoo.com
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = Google
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.preislisten.org/
IE - HKCU\..\URLSearchHook: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
IE - HKCU\..\SearchScopes,DefaultScope = 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{DECA3892-BA8F-44b8-A993-A466AD694AE4}: "URL" = hxxp://de.search.yahoo.com/search?fr=mcafee&p={searchTerms}
IE - HKCU\..\SearchScopes\{EE2D2084-41F1-4D58-B6F8-FE3F3746EBD2}: "URL" = hxxp://www.google.de/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7SUNA_de
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = localhost
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.17.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@mcafee.com/MSC,version=10: c:\progra~1\mcafee\msc\npmcsn~1.dll ()
FF - HKLM\Software\MozillaPlugins\@mcafee.com/SAFFPlugin: C:\Programme\McAfee\SiteAdvisor\npmcffplg32.dll (McAfee, Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{D19CA586-DD6C-4a0a-96F8-14644F340D60}: C:\Programme\Gemeinsame Dateien\McAfee\SystemCore [2013.03.21 15:58:33 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\extensions\\{4ED1F68A-5463-4931-9384-8FFF5ED91D92}: C:\Programme\McAfee\SiteAdvisor [2013.01.14 09:04:04 | 000,000,000 | ---D | M]
 
 
========== Chrome  ==========
 
CHR - default_search_provider: Ask (Enabled)
CHR - default_search_provider: search_url = hxxp://websearch.ask.com/redirect?client=cr&src=kw&tb=ORJ&o=&locale=&apn_uid=67B2235C-D32A-4983-8A92-5FF1F604D060&apn_ptnrs=U3&apn_sauid=9C73D079-3EBF-43F1-91C7-6D90681F7F82&apn_dtid=OSJ000YYDE&q={searchTerms}
CHR - default_search_provider: suggest_url = hxxp://ss.websearch.ask.com/query?qsrc=2922&li=ff&sstype=prefix&q={searchTerms}
CHR - homepage: hxxp://www.google.com/
CHR - plugin: Shockwave Flash (Enabled) = C:\Programme\Google\Chrome\Application\25.0.1364.172\PepperFlash\pepflashplayer.dll
CHR - plugin: Chrome Remote Desktop Viewer (Enabled) = internal-remoting-viewer
CHR - plugin: Native Client (Enabled) = C:\Programme\Google\Chrome\Application\25.0.1364.172\ppGoogleNaClPluginChrome.dll
CHR - plugin: Chrome PDF Viewer (Enabled) = C:\Programme\Google\Chrome\Application\25.0.1364.172\pdf.dll
CHR - plugin: McAfee SiteAdvisor (Enabled) = C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.60.126.1_0\McChPlg.dll
CHR - plugin: McAfee SiteAdvisor (Enabled) = C:\Programme\McAfee\SiteAdvisor\npmcffplg32.dll
CHR - plugin: Adobe Acrobat (Enabled) = C:\Programme\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npdrmv2.dll
CHR - plugin: Microsoft\u00AE DRM (Enabled) = C:\Programme\Windows Media Player\npwmsdrm.dll
CHR - plugin: Windows Media Player Plug-in Dynamic Link Library (Enabled) = C:\Programme\Windows Media Player\npdsplay.dll
CHR - plugin: AVG SiteSafety plugin (Enabled) = C:\Programme\Gemeinsame Dateien\AVG Secure Search\SiteSafetyInstaller\14.2.0\\npsitesafety.dll
CHR - plugin: Google Earth Plugin (Enabled) = C:\Programme\Google\Google Earth\plugin\npgeplugin.dll
CHR - plugin: Google Update (Enabled) = C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll
CHR - plugin: Java(TM) Platform SE 6 U39 (Enabled) = C:\Programme\Java\jre6\bin\plugin2\npjp2.dll
CHR - plugin: Java Deployment Toolkit 6.0.390.4 (Enabled) = C:\WINDOWS\system32\npdeployJava1.dll
CHR - plugin: MetaStream 3 Plugin (Enabled) = C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
CHR - plugin: McAfee SecurityCenter (Enabled) = c:\progra~1\mcafee\msc\npmcsn~1.dll
CHR - Extension: YouTube = C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.5_1\
CHR - Extension: Google-Suche = C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.19_1\
CHR - Extension: SiteAdvisor = C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\fheoggkfdfchfphceeifdbepaooicaho\3.60.126.1_0\
CHR - Extension: Google Mail = C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\
 
O1 HOSTS File: ([2013.03.21 16:07:30 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\Gemeinsame Dateien\Mcafee\SystemCore\ScriptSn.20121029103233.dll (McAfee, Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll (Google Inc.)
O2 - BHO: (McAfee SiteAdvisor BHO) - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O2 - BHO: (SingleInstance Class) - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll (Yahoo! Inc)
O3 - HKLM\..\Toolbar: (McAfee SiteAdvisor Toolbar) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O4 - HKLM..\Run: [Adobe ARM] C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)
O4 - HKLM..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\aol\ACS\AOLDial.exe (AOL LLC)
O4 - HKLM..\Run: [EM_EXEC] C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE (Logitech Inc.                    )
O4 - HKLM..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\aol\1166087665\ee\aolsoftware.exe (America Online, Inc.)
O4 - HKLM..\Run: [mcui_exe] C:\Programme\McAfee.com\Agent\mcagent.exe (McAfee, Inc.)
O4 - HKLM..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe ()
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [NvMediaCenter] C:\WINDOWS\System32\NvMcTray.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] C:\WINDOWS\System32\nwiz.exe ()
O4 - HKLM..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe (RealNetworks, Inc.)
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKLM..\Run: [VTTimer] C:\WINDOWS\System32\VTTimer.exe (S3 Graphics, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe (America Online, Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe (InterVideo Inc.)
O4 - Startup: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe (Logitech)
O4 - Startup: C:\Dokumente und Einstellungen\ANDI\Startmenü\Programme\Autostart\Handicraft-Freigabe.LNK = C:\HANDI\HANDIWIN.exe ()
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O9 - Extra 'Tools' menuitem : Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll (Sun Microsystems, Inc.)
O15 - HKCU\..Trusted Domains:   ([]msn in My Computer)
O15 - HKCU\..Trusted Domains: aol.com ([objects] * is out of zone range -  5)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} hxxp://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409 (Windows Genuine Advantage Validation Tool)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} C:\Programme\Yahoo!\Common\Yinsthelper.dll (Installation Support)
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} hxxp://www.cult3d.com/download/cult.cab (Cult3D ActiveX Player)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB (Reg Error: Key error.)
O16 - DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} hxxp://office.microsoft.com/officeupdate/content/opuc.cab (Office Update Installation Engine)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Value error.)
O16 - DPF: {9EBA6AB8-DB90-48F7-A0C1-EC3DAE86220D} hxxp://xvectormap.ptv.de/xvectormap/PTVxVectorMap30.cab (PTV xVectorMap Plugin 3.0)
O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C67A698C-BE1A-4799-BADC-630DBAEFF498}: NameServer = 192.168.2.1
O18 - Protocol\Handler\dssrequest {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation)
O18 - Protocol\Handler\mso-offdap11 {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL (Microsoft Corporation)
O18 - Protocol\Handler\sacore {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Programme\McAfee\SiteAdvisor\McIEPlg.dll (McAfee, Inc.)
O18 - Protocol\Filter\application/x-mfe-ipt {3EF5086B-5478-4598-A054-786C45D75692} - c:\Programme\McAfee\MSC\McSnIePl.dll (McAfee, Inc.)
O18 - Protocol\Filter\text/xml {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2004.12.10 16:46:26 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
ActiveX: {0291E591-EA41-4c82-8106-3DC6CE7F7664} - Reg Error: Value error.
ActiveX: {04d6265d-6b5d-41c3-9e7c-48be15919643} - KB890923
ActiveX: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} - Java (Sun)
ActiveX: {10072CEC-8CC1-11D1-986E-00A0C955B42F} - Vektorgrafik-Rendering (VML)
ActiveX: {2179C5D3-EBFF-11CF-B6FD-00AA00B4E220} - NetShow
ActiveX: {22d6f312-b0f6-11d0-94ab-0080c74c7e95} - Microsoft Windows Media Player 6.4
ActiveX: {2337076a-dd0c-43a6-8d85-54070578a42f} - KB912812
ActiveX: {283807B5-2C60-11D0-A31D-00AA00B92C03} - DirectAnimation
ActiveX: {2C7339CF-2B09-4501-B3F3-F3508C9228ED} - %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll
ActiveX: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} - Reg Error: Value error.
ActiveX: {347B0667-C7ED-429B-BDE3-CC8D3BACAA31} - Reg Error: Value error.
ActiveX: {36f8ec70-c29a-11d1-b5c7-0000f8051515} - Dynamic HTML-Datenbindung für Java
ActiveX: {3af36230-a269-11d1-b5bf-0000f8051515} - Offline Browsing Pack
ActiveX: {3bf42070-b3b1-11d1-b5c5-0000f8051515} - Uniscribe
ActiveX: {4278c270-a269-11d1-b5bf-0000f8051515} - Erweitertes Authoring
ActiveX: {44BBA840-CC51-11CF-AAFA-00AA00B6015C} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install
ActiveX: {44BBA842-CC51-11CF-AAFA-00AA00B6015B} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT
ActiveX: {44BBA848-CC51-11CF-AAFA-00AA00B6015C} - DirectShow
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015C} - Microsoft DirectX
ActiveX: {44BBA855-CC51-11CF-AAFA-00AA00B6015F} - DirectDrawEx
ActiveX: {45ea75a0-a269-11d1-b5bf-0000f8051515} - Internet Explorer Help
ActiveX: {4d64f3ba-f112-4efe-a02e-96680859937c} - KB918899
ActiveX: {4f216970-c90c-11d1-b5c7-0000f8051515} - DirectAnimation Java Classes
ActiveX: {4f645220-306d-11d2-995d-00c04f98bbc9} - Microsoft Windows Script 5.7
ActiveX: {5945c046-1e7d-11d1-bc44-00c04fd912be} - rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser
ActiveX: {5A8D6EE0-3E18-11D0-821E-444553540000} - ICW
ActiveX: {5b7bf89d-d196-4c32-a303-a57b8ab7f18d} - KB918439
ActiveX: {5c9ff2bf-938d-47fe-85d9-9dbab4f65018} - KB897715
ActiveX: {5fd399c0-a70a-11d1-9948-00c04f98bbc9} - Internet Explorer Setup Tools
ActiveX: {630b1da0-b465-11d1-9948-00c04f98bbc9} - Browsing Enhancements
ActiveX: {689e5762-8d75-4346-90cf-bc1902c32d63} - KB896688
ActiveX: {6BF52A52-394A-11d3-B153-00C04F79FAA6} - Microsoft Windows Media Player
ActiveX: {6fab99d0-bab8-11d1-994a-00c04f98bbc9} - MSN Site Access
ActiveX: {7131646D-CD3C-40F4-97B9-CD9E4E6262EF} - .NET Framework
ActiveX: {73FA19D0-2D75-11D2-995D-00C04F98BBC9} - Webordner
ActiveX: {7790769C-0471-11d2-AF11-00C04FA35D02} - "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install
ActiveX: {82ced0ff-a00d-4405-ba5f-ef4699159333} - KB896727
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4340} - regsvr32.exe /s /n /i:U shell32.dll
ActiveX: {89820200-ECBD-11cf-8B85-00AA005B4383} - C:\WINDOWS\system32\ie4uinit.exe -BaseSettings
ActiveX: {89B4C1CD-B018-4511-B0A1-5476DBF70820} - C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install
ActiveX: {8A69D345-D564-463c-AFF1-A69D9E530F96} - "C:\Programme\Google\Chrome\Application\25.0.1364.172\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level --multi-install --chrome
ActiveX: {9381D8F2-0288-11D0-9501-00AA00B911A5} - Dynamic HTML Data Binding
ActiveX: {ae594d5e-dd07-4e54-8252-daa5aebbd4ec} - KB905915
ActiveX: {C9E9A340-D1F1-11D0-821E-444553540600} - Internet Explorer Core Fonts
ActiveX: {CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1} - .NET Framework
ActiveX: {CC2A9BA0-3BDD-11D0-821E-444553540000} - Taskplaner
ActiveX: {CDD7975E-60F8-41d5-8149-19E51D6F71D0} - Windows Movie Maker v2.1
ActiveX: {D27CDB6E-AE6D-11cf-96B8-444553540000} - Adobe Flash Player
ActiveX: {de5aed00-a4bf-11d1-9948-00c04f98bbc9} - HTML Help
ActiveX: {E78BFA60-5393-4C38-82AB-E8019E464EB4} - .NET Framework
ActiveX: {E92B03AB-B707-11d2-9CBD-0000F87A369E} - Active Directory Service Interface
ActiveX: {f15ee071-deb7-4cbb-951f-431c98338d8e} - KB911567
ActiveX: {f5173cf0-1dfb-4978-8e50-a90169ee7ca9} - Q823353
ActiveX: <{12d0ed0d-0ee0-4f90-8827-78cefb8f4988} - C:\WINDOWS\system32\ieudinit.exe
ActiveX: >{22d6f312-b0f6-11d0-94ab-0080c74c7e95} - C:\WINDOWS\inf\unregmp2.exe /ShowWMP
ActiveX: >{26923b43-4d38-484f-9b9e-de460746276c} - C:\WINDOWS\system32\ie4uinit.exe -UserIconConfig
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF} - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS - RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP
ActiveX: >{881dd1c5-3dcf-431b-b061-f3f88e8be88a} - %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE
 
NetSvcs: 6to4 -  File not found
NetSvcs: AppMgmt - %SystemRoot%\System32\appmgmts.dll File not found
NetSvcs: Ias -  File not found
NetSvcs: Iprip -  File not found
NetSvcs: Irmon -  File not found
NetSvcs: NWCWorkstation -  File not found
NetSvcs: Nwsapagent -  File not found
NetSvcs: WmdmPmSp -  File not found
 
 
CREATERESTOREPOINT
Restore point Set: OTL Restore Point
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.21 16:13:19 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\McAfee
[2013.03.21 15:10:52 | 005,042,364 | R--- | C] (Swearware) -- C:\Dokumente und Einstellungen\ANDI\Desktop\ComboFix.exe
[2013.03.21 11:07:22 | 000,000,000 | RHSD | C] -- C:\cmdcons
[2013.03.21 11:04:39 | 000,518,144 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2013.03.21 11:04:39 | 000,406,528 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2013.03.21 11:04:39 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2013.03.21 11:04:39 | 000,060,416 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2013.03.21 10:55:03 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.03.21 10:54:25 | 000,000,000 | ---D | C] -- C:\WINDOWS\erdnt
[2013.03.21 10:38:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Desktop\Scanner
[2013.03.21 10:37:51 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ANDI\Desktop\OTL.exe
[2013.03.20 19:23:26 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Malwarebytes
[2013.03.20 18:28:18 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Malwarebytes' Anti-Malware
[2013.03.20 18:28:15 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.03.20 18:28:14 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.03.20 18:28:14 | 000,000,000 | ---D | C] -- C:\Programme\Malwarebytes' Anti-Malware
[2013.03.20 10:44:53 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\OnlineAnfrageReservierung(DE)
[2013.03.15 05:25:02 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\Sun
[2013.03.14 07:42:07 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\BVLeipzigRechnung
[2013.03.13 10:49:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Duschelement Rioleto Wedi
[2013.03.12 17:44:17 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Beyer Hamburg Bad_Variante2013
[2013.03.12 11:17:55 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Thurau20130107ElektroSanitär
[2013.03.12 11:16:10 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba 2013 Scheffelstr loerzer
[2013.03.11 07:54:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\FliesenplanWhgFam.Brixle,22.01.2013
[2013.03.09 12:42:11 | 000,000,000 | ---D | C] -- C:\Firefox
[2013.03.06 10:19:45 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\FZL Jahrespreisvereinbarung2013KG01
[2013.03.06 09:28:24 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Rankestr
[2013.03.05 11:41:12 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\BV Biberach Pflegeheim
[2013.02.28 09:15:38 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Google Chrome
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.21 16:07:30 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[2013.03.21 16:07:02 | 000,001,374 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.03.21 16:07:01 | 000,001,086 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013.03.21 16:07:01 | 000,000,254 | ---- | M] () -- C:\WINDOWS\tasks\rbmonitor.job
[2013.03.21 16:07:00 | 000,000,290 | ---- | M] () -- C:\WINDOWS\tasks\RegistryBooster.job
[2013.03.21 15:59:00 | 000,001,090 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013.03.21 15:53:17 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.03.21 15:31:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.03.21 15:12:18 | 005,042,364 | R--- | M] (Swearware) -- C:\Dokumente und Einstellungen\ANDI\Desktop\ComboFix.exe
[2013.03.21 11:07:33 | 000,000,327 | RHS- | M] () -- C:\boot.ini
[2013.03.21 10:02:24 | 000,609,993 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Desktop\adwcleaner.exe
[2013.03.20 20:21:15 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\defogger_reenable
[2013.03.20 20:15:56 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Dokumente und Einstellungen\ANDI\Desktop\OTL.exe
[2013.03.20 19:27:19 | 000,000,756 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.03.20 10:46:32 | 000,963,788 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Aktennotiz18.03.2013-BauberatungNr.38.pdf
[2013.03.20 10:44:53 | 000,029,400 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\OnlineAnfrageReservierung(DE).zip
[2013.03.20 10:03:41 | 002,260,826 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\20130317_143641.jpg
[2013.03.20 08:51:51 | 001,324,317 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Hochfeste weber_fug_873.pdf
[2013.03.20 08:50:20 | 000,015,490 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\A Hanz bad köstritz.pdf
[2013.03.15 05:25:02 | 000,000,664 | ---- | M] () -- C:\WINDOWS\System32\d3d9caps.dat
[2013.03.14 16:14:38 | 001,244,263 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\BA)_Kroeller-F212-AndreasFliesen(802692)_offen_Brief.rtf.pdf
[2013.03.14 12:24:19 | 000,005,881 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\preis dmk argelith.pdf
[2013.03.14 10:52:25 | 000,017,750 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\wklnhst.dat
[2013.03.14 10:52:08 | 000,035,840 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Wert -consult 2013 Fliese
[2013.03.14 08:58:01 | 000,020,035 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\A wert consult 2013.pdf
[2013.03.14 07:42:07 | 003,729,266 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\BVLeipzigRechnung.zip
[2013.03.13 19:56:35 | 000,001,777 | ---- | M] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2013.03.13 10:52:49 | 000,017,201 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Angebot131664078,13.03.2013.pdf
[2013.03.13 10:19:48 | 000,790,906 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba Ranke mehnert Bad,Fuboaufbau.pdf
[2013.03.12 17:44:17 | 001,079,504 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Beyer Hamburg Bad_Variante2013.zip
[2013.03.12 17:38:54 | 000,077,306 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\HA3010258.pdf
[2013.03.12 16:04:35 | 000,006,088 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Preisanfrage Hayen Ranke 14.pdf
[2013.03.12 11:26:25 | 001,471,222 | ---- | M] () -- C:\daten.zip
[2013.03.12 11:17:55 | 001,836,219 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Thurau20130107ElektroSanitär.zip
[2013.03.12 11:16:10 | 007,442,959 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba 2013 Scheffelstr loerzer.zip
[2013.03.11 07:54:46 | 001,132,217 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\FliesenplanWhgFam.Brixle,22.01.2013.zip
[2013.03.06 10:19:45 | 000,663,654 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\FZL Jahrespreisvereinbarung2013KG01.zip
[2013.03.06 09:28:23 | 007,493,440 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Rankestr.zip
[2013.03.06 09:23:33 | 005,719,259 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba Ranke 14 vormontage_twinline_de.pdf
[2013.02.27 17:32:52 | 000,016,058 | ---- | M] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\opitz 2013.pdf
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.03.21 11:07:32 | 000,000,211 | ---- | C] () -- C:\Boot.bak
[2013.03.21 11:07:26 | 000,262,448 | RHS- | C] () -- C:\cmldr
[2013.03.21 11:04:39 | 000,256,000 | ---- | C] () -- C:\WINDOWS\PEV.exe
[2013.03.21 11:04:39 | 000,208,896 | ---- | C] () -- C:\WINDOWS\MBR.exe
[2013.03.21 11:04:39 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe
[2013.03.21 11:04:39 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe
[2013.03.21 11:04:39 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe
[2013.03.21 10:37:38 | 000,609,993 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Desktop\adwcleaner.exe
[2013.03.20 20:21:15 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\defogger_reenable
[2013.03.20 18:28:19 | 000,000,756 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.03.20 10:46:19 | 000,963,788 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Aktennotiz18.03.2013-BauberatungNr.38.pdf
[2013.03.20 10:44:52 | 000,029,400 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\OnlineAnfrageReservierung(DE).zip
[2013.03.20 08:51:34 | 001,324,317 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Hochfeste weber_fug_873.pdf
[2013.03.20 08:19:17 | 002,260,826 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\20130317_143641.jpg
[2013.03.14 16:14:22 | 001,244,263 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\BA)_Kroeller-F212-AndreasFliesen(802692)_offen_Brief.rtf.pdf
[2013.03.14 12:24:18 | 000,005,881 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\preis dmk argelith.pdf
[2013.03.14 10:52:07 | 000,035,840 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Wert -consult 2013 Fliese
[2013.03.14 08:57:59 | 000,020,035 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\A wert consult 2013.pdf
[2013.03.14 07:41:20 | 003,729,266 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\BVLeipzigRechnung.zip
[2013.03.13 10:52:48 | 000,017,201 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Angebot131664078,13.03.2013.pdf
[2013.03.13 10:19:37 | 000,790,906 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba Ranke mehnert Bad,Fuboaufbau.pdf
[2013.03.12 17:44:02 | 001,079,504 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Beyer Hamburg Bad_Variante2013.zip
[2013.03.12 17:38:53 | 000,077,306 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\HA3010258.pdf
[2013.03.12 16:04:34 | 000,006,088 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Preisanfrage Hayen Ranke 14.pdf
[2013.03.12 11:26:13 | 001,471,222 | ---- | C] () -- C:\daten.zip
[2013.03.12 11:17:31 | 001,836,219 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Thurau20130107ElektroSanitär.zip
[2013.03.12 11:14:24 | 007,442,959 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba 2013 Scheffelstr loerzer.zip
[2013.03.11 07:54:32 | 001,132,217 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\FliesenplanWhgFam.Brixle,22.01.2013.zip
[2013.03.06 10:19:36 | 000,663,654 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\FZL Jahrespreisvereinbarung2013KG01.zip
[2013.03.06 09:26:49 | 007,493,440 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Rankestr.zip
[2013.03.06 09:22:20 | 005,719,259 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\Heba Ranke 14 vormontage_twinline_de.pdf
[2013.03.05 12:26:35 | 000,015,490 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\A Hanz bad köstritz.pdf
[2013.02.28 09:15:37 | 000,001,777 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Desktop\Google Chrome.lnk
[2013.02.27 17:32:51 | 000,016,058 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Eigene Dateien\opitz 2013.pdf
[2007.07.26 15:44:49 | 000,017,750 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\wklnhst.dat
[2006.10.13 18:13:01 | 000,120,286 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
[2006.02.09 12:04:14 | 000,000,305 | ---- | C] () -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\addr_file.html
[2005.07.25 16:11:44 | 000,000,459 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\index.htm
[2005.06.07 16:16:34 | 000,000,784 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\mpauth.dat
[2005.03.02 16:47:09 | 000,036,352 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2005.02.25 17:03:27 | 000,000,137 | ---- | C] () -- C:\Dokumente und Einstellungen\ANDI\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
 
========== ZeroAccess Check ==========
 
[2005.02.25 17:02:18 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2006.10.23 16:34:37 | 001,497,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2004.08.04 08:57:18 | 000,472,064 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2004.08.04 08:57:37 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2012.09.08 09:43:54 | 000,000,000 | -H-D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Common Files
[2011.01.13 15:13:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Vodafone
[2006.11.27 07:57:01 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xVectorMap
[2012.07.30 08:40:31 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{6AD8E59C-250C-4201-B5BA-56ADEF76FF46}
[2005.01.14 11:13:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\FRITZ!
[2006.01.12 16:15:33 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\InterVideo
[2007.06.04 09:53:27 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\klickTel
[2005.10.16 09:48:51 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Leadertech
[2005.10.01 17:41:30 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\MGI
[2009.01.20 16:05:48 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\TeamViewer
[2012.04.11 09:05:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Uniblue
[2011.01.13 14:54:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Vodafone
[2011.01.13 16:55:05 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\ANDI\Anwendungsdaten\Vodafone Mobile Connect
 
========== Purity Check ==========
 
 
 
========== Custom Scans ==========
 
< %SYSTEMDRIVE%\*. >
[2005.07.04 14:04:04 | 000,000,000 | ---D | M] -- C:\Acrobat3
[2010.11.30 11:51:24 | 000,000,000 | ---D | M] -- C:\Aol
[2013.03.21 11:07:32 | 000,000,000 | RHSD | M] -- C:\cmdcons
[2013.03.20 18:24:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen
[2009.03.02 19:40:52 | 000,000,000 | ---D | M] -- C:\EPSON
[2013.03.09 12:42:11 | 000,000,000 | ---D | M] -- C:\Firefox
[2013.03.21 16:14:38 | 000,000,000 | ---D | M] -- C:\HANDI
[2005.07.04 14:03:51 | 000,000,000 | ---D | M] -- C:\IDAPI
[2004.12.20 16:09:05 | 000,000,000 | R--D | M] -- C:\MSOCache
[2004.12.10 17:41:28 | 000,000,000 | ---D | M] -- C:\My Music
[2008.11.21 19:00:49 | 000,000,000 | ---D | M] -- C:\Program Files
[2013.03.21 10:29:27 | 000,000,000 | R--D | M] -- C:\Programme
[2013.03.21 16:13:43 | 000,000,000 | ---D | M] -- C:\Qoobox
[2011.05.03 09:21:53 | 000,000,000 | -HSD | M] -- C:\System Volume Information
[2005.09.09 14:52:02 | 000,000,000 | ---D | M] -- C:\temp
[2013.03.21 16:07:43 | 000,000,000 | ---D | M] -- C:\WINDOWS
 
< %PROGRAMFILES%\*.exe >
Invalid Environment Variable: LOCALAPPDATA
 
< %systemroot%\*. /mp /s >
 
< %windir%\installer\*. /5 >
Invalid Environment Variable: localappdata
 
<           >
[2004.12.10 16:44:36 | 000,000,065 | RH-- | C] () -- C:\WINDOWS\Tasks\desktop.ini
[2004.12.10 16:46:17 | 000,000,006 | -H-- | C] () -- C:\WINDOWS\Tasks\SA.DAT
[2010.01.29 11:16:24 | 000,001,086 | ---- | C] () -- C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
[2010.01.29 11:16:24 | 000,001,090 | ---- | C] () -- C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
[2012.04.10 09:15:11 | 000,000,884 | ---- | C] () -- C:\WINDOWS\Tasks\Adobe Flash Player Updater.job
[2012.12.27 14:05:30 | 000,000,254 | ---- | C] () -- C:\WINDOWS\Tasks\rbmonitor.job
[2012.12.27 14:05:33 | 000,000,290 | ---- | C] () -- C:\WINDOWS\Tasks\RegistryBooster.job

< End of report >

Danke für deine Hilfe

aharonov · 21.03.2013, 16:38

Hallo,

wie läuft der Rechner jetzt?
Alles normal oder ist er langsamer geworden?

Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinen Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Wenn eine Warnung "Registry value AppInit_Dlls has been found, .." erscheint, drücke Nein.
Folge dann den Anweisungen, führe das Update aus und drücke dann Scan.

Falls Funde angezeigt werden:

Klicke auf den CleanUp Button und erlaube den Neustart.
Während des Neustarts wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut und wiederhole den Scan.
Sollte nochmals was gefunden werden, führe erneut den CleanUp-Prozess durch.

Das Tool wird im erstellten Ordner Logfiles (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste deren Inhalt hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers.

Bitte poste in deiner nächsten Antwort:

Log von MBAR

ALKA889 · 21.03.2013, 20:57

Hallo,

mir ist nicht aufgefallen, dass er wesentlich langsamer läuft. Soweit so gut

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.21.12

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 7.0.5730.11
ANDI :: ANDREAS [administrator]

21.03.2013 20:14:26
mbar-log-2013-03-21 (20-14-26).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25158
Time elapsed: 24 minute(s), 56 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 3
c:\WINDOWS\system32\srvaexec.exe (Trojan.Ransom.ED) -> Delete on reboot.
c:\WINDOWS\system32\Kill Bill Screensaver - Die Braut.scr (Trojan.Bifrost) -> Delete on reboot.
c:\WINDOWS\system32\Kill Bill Screensaver.scr (Trojan.Bifrost) -> Delete on reboot.

(end)

aharonov · 21.03.2013, 21:09

Hallo,

prima, dann machen wir noch eine Kontrolle:

Schritt 1

Starte bitte die OTL.exe.
Kopiere nun den folgenden Inhalt aus der Codebox in die Textbox.
Wichtig: Falls du deinen Benutzernamen im Log unkenntlich gemacht hast (z.B. durch ***), dann mach das hier wieder rückgängig.

Code:

ATTFilter

:files
reg query "HKLM\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0" /c
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}" /s /c

:commands
[emptytemp]

Schliesse nun bitte alle anderen Programme.
Klicke jetzt auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Diesen bitte zulassen.
Nach dem Neustart findest du ein Textdokument auf deinem Desktop.
(Auch zu finden unter C:\_OTL\MovedFiles\<date_time>.log)
Kopiere nun dessen Inhalt hier in deinen Thread.

Schritt 2

Öffne das Programm Malwarebytes Anti-Malware.
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Klicke auf Aktualisierung --> Suche nach Aktualisierung.
Wenn das Update beendet wurde, aktiviere im Reiter Suchlauf die Option Quick-Scan durchführen und drücke auf Scannen.
Wenn der Scan fertig ist, klicke auf Ergebnisse anzeigen.
Versichere dich, dass alle Funde markiert sind und drücke Entferne Auswahl.
Poste das Logfile, welches sich in Notepad öffnet, hier in den Thread.
Nachträglich kannst du den Bericht unter dem Reiter Logdateien finden.

Schritt 3

Lade das Setup des ESET Online Scanners herunter und speichere es auf den Desktop.

Schliesse evtl. vorhandene externe Festplatten und USB-Sticks an den Rechner an.
Deaktiviere jetzt temporär für diesen Scan dein Antivirenprogramm und die Firewall.
(Danach nicht vergessen, sie wieder einzuschalten.)
Starte nun die heruntergeladene esetsmartinstaller_enu.exe.
Setze den Haken bei Yes, I accept the Terms of Use und drücke Start.
Warte bis die Komponenten heruntergeladen sind.
Setze den Haken bei Scan archives.
Gehe sicher, dass bei Remove found Threats kein Haken gesetzt ist.
Drücke dann auf Start.
Die Signaturen werden heruntergeladen und der Scan startet automatisch.
Hinweis: Dieser Scan kann unter Umständen ziemlich lange dauern!
Falls nach Beendigung des Scans Funde angezeigt werden, dann:
- Drücke auf List of found threats.
- Klicke dann auf Export to text file... und speichere die Textdatei als ESET.txt auf den Desktop.
- Drücke danach auf << Back.
Schliesse nun den Scanner mit einem Klick auf Finish.

Poste bitte den Inhalt der ESET.txt oder teile mir mit, wenn es keine Funde gegeben hat.

Schritt 4

Downloade dir bitte SecurityCheck (Link 2).

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Fixlog von OTL
Log von MBAM
Log von ESET
Log von SecurityCheck

ALKA889 · 21.03.2013, 21:46

OTL

Code:

ATTFilter

All processes killed
========== FILES ==========
< reg query "HKLM\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0" /c >
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0
    DMAEnabled	REG_DWORD	0x0
    Driver	REG_SZ	atapi
C:\Dokumente und Einstellungen\ANDI\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\ANDI\Desktop\cmd.txt deleted successfully.
< reg query "HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}" /s /c >
! REG.EXE VERSION 3.0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}
    Class	REG_SZ	hdc
    <NO NAME>	REG_SZ	IDE ATA/ATAPI-Controller
    Icon	REG_SZ	-9
    Installer32	REG_SZ	SysSetup.Dll,HdcClassInstaller
    TroubleShooter-0	REG_SZ	hcp://help/tshoot/tsdrive.htm
    UpperFilters	REG_MULTI_SZ	xfilt\0\0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0000
    TransferModeTiming	REG_MULTI_SZ	18\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\015\0\0
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	viaide_Inst
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.1106
    MatchingDeviceId	REG_SZ	pci\ven_1106&dev_0571
    DriverDesc	REG_SZ	VIA Bus-Master-IDE-Controller
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0001
    EnumPropPages32	REG_SZ	storprop.dll,IdePropPageProvider
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	atapi_Inst_primary
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.1106
    MatchingDeviceId	REG_SZ	primary_ide_channel
    DriverDesc	REG_SZ	Primärer IDE-Kanal
    MasterDeviceType	REG_DWORD	0x1
    SlaveDeviceType	REG_DWORD	0x0
    MasterDeviceTimingMode	REG_DWORD	0x10010
    MasterDeviceTimingModeAllowed	REG_DWORD	0xffffffff
    MasterIdDataCheckSum	REG_DWORD	0x162eb
    SlaveDeviceTimingMode	REG_DWORD	0x0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0002
    EnumPropPages32	REG_SZ	storprop.dll,IdePropPageProvider
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	atapi_Inst_secondary
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.1106
    MatchingDeviceId	REG_SZ	secondary_ide_channel
    DriverDesc	REG_SZ	Sekundärer IDE-Kanal
    MasterDeviceType	REG_DWORD	0x2
    SlaveDeviceType	REG_DWORD	0x0
    SlaveDeviceDetectionTimeout	REG_DWORD	0x1
    MasterDeviceTimingMode	REG_DWORD	0x2010
    MasterDeviceTimingModeAllowed	REG_DWORD	0xffffffff
    MasterIdDataCheckSum	REG_DWORD	0x54fe
    SlaveDeviceTimingMode	REG_DWORD	0x0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0003
    TransferModeTiming	REG_MULTI_SZ	18\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\015\0\0
    InfPath	REG_SZ	oem21.inf
    InfSection	REG_SZ	vide_PATA_Inst_x32
    ProviderName	REG_SZ	VIA Technologies, Inc.
    DriverDateData	REG_BINARY	00004B307FF1C601
    DriverDate	REG_SZ	10-17-2006
    DriverVersion	REG_SZ	6.0.5728.160
    MatchingDeviceId	REG_SZ	pci\ven_1106&dev_0571
    DriverDesc	REG_SZ	VIA Bus Master IDE Controller - 0571
    InfSectionExt	REG_SZ	.NTx86
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0004
    InfPath	REG_SZ	oem21.inf
    InfSection	REG_SZ	vide_Inst_x32
    ProviderName	REG_SZ	VIA Technologies, Inc.
    DriverDateData	REG_BINARY	00004B307FF1C601
    DriverDate	REG_SZ	10-17-2006
    DriverVersion	REG_SZ	6.0.5728.160
    MatchingDeviceId	REG_SZ	pci\ven_1106&dev_0591&cc_0101
    DriverDesc	REG_SZ	VIA Serial ATA Controller - 0591
    InfSectionExt	REG_SZ	.NTx86
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0005
    EnumPropPages32	REG_SZ	storprop.dll,IdePropPageProvider
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	atapi_Inst_primary
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.2180
    MatchingDeviceId	REG_SZ	primary_ide_channel
    DriverDesc	REG_SZ	Primärer IDE-Kanal
    MasterDeviceType	REG_DWORD	0x2
    SlaveDeviceType	REG_DWORD	0x0
    SlaveDeviceDetectionTimeout	REG_DWORD	0x1
    MasterDeviceTimingMode	REG_DWORD	0x2010
    MasterDeviceTimingModeAllowed	REG_DWORD	0xffffffff
    MasterIdDataCheckSum	REG_DWORD	0x54fe
    SlaveDeviceTimingMode	REG_DWORD	0x0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0006
    EnumPropPages32	REG_SZ	storprop.dll,IdePropPageProvider
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	atapi_Inst_secondary
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.2180
    MatchingDeviceId	REG_SZ	secondary_ide_channel
    DriverDesc	REG_SZ	Sekundärer IDE-Kanal
    MasterDeviceType	REG_DWORD	0x1
    SlaveDeviceType	REG_DWORD	0x0
    MasterDeviceTimingMode	REG_DWORD	0x10
    MasterDeviceTimingModeAllowed	REG_DWORD	0x1f
    MasterIdDataCheckSum	REG_DWORD	0x162eb
    SlaveDeviceTimingMode	REG_DWORD	0x0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0007
    EnumPropPages32	REG_SZ	storprop.dll,IdePropPageProvider
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	atapi_Inst_primary
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.2180
    MatchingDeviceId	REG_SZ	primary_ide_channel
    DriverDesc	REG_SZ	Primärer IDE-Kanal
    MasterDeviceType	REG_DWORD	0x0
    SlaveDeviceType	REG_DWORD	0x0
    MasterDeviceTimingMode	REG_DWORD	0x0
    SlaveDeviceTimingMode	REG_DWORD	0x0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0008
    EnumPropPages32	REG_SZ	storprop.dll,IdePropPageProvider
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	atapi_Inst_secondary
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.2180
    MatchingDeviceId	REG_SZ	secondary_ide_channel
    DriverDesc	REG_SZ	Sekundärer IDE-Kanal
    MasterDeviceType	REG_DWORD	0x0
    SlaveDeviceType	REG_DWORD	0x0
    MasterDeviceTimingMode	REG_DWORD	0x0
    SlaveDeviceTimingMode	REG_DWORD	0x0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties
C:\Dokumente und Einstellungen\ANDI\Desktop\cmd.bat deleted successfully.
C:\Dokumente und Einstellungen\ANDI\Desktop\cmd.txt deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrator
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 78991 bytes
 
User: All Users
 
User: ANDI
->Temp folder emptied: 15750 bytes
->Temporary Internet Files folder emptied: 15824957 bytes
->Java cache emptied: 89267798 bytes
->Google Chrome cache emptied: 29550841 bytes
->Flash cache emptied: 1976941 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 49286 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1119608 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 41027 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 132,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 03212013_211339

Files\Folders moved on Reboot...

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

MBAM

Code:

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.21.13

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 7.0.5730.11
ANDI :: ANDREAS [Administrator]

21.03.2013 21:24:47
mbam-log-2013-03-21 (21-24-47).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 225173
Laufzeit: 10 Minute(n), 6 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

aharonov · 21.03.2013, 21:52

Ok, fehlen nur noch ESET und SecurityCheck

ALKA889 · 22.03.2013, 10:43

hier kommen die beiden anderen Log-Files. Hatte den ESET über Nacht laufen

ESET

Code:

ATTFilter

C:\Qoobox\Quarantine\[4]-Submit_2013-03-21_15.37.50.zip	Win32/Spy.Zbot.ZR trojan
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\All Users\_dxtqipnft_.exe.zip	a variant of Win32/Injector.AEFD trojan
C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\ANDI\Anwendungsdaten\KB00252781.exe.vir	a variant of Win32/Injector.AEGH trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0166977.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0167970.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0167982.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0167988.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0167994.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168004.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168018.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168023.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168059.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168063.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168067.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168077.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168087.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2929\A0168095.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2930\A0168116.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2930\A0168128.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2930\A0168135.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2930\A0168139.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2930\A0168145.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2930\A0168358.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2930\A0168369.exe	a variant of Win32/Injector.AEEI trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2930\A0168523.exe	a variant of Win32/Injector.AEFD trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2930\A0168661.exe	Win32/Spy.Zbot.ZR trojan
C:\System Volume Information\_restore{3E74FF1B-ABFD-4369-9689-9F7EC55960D0}\RP2930\A0168662.exe	a variant of Win32/Injector.AEGH trojan

Security Check

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.61  
 Windows XP Service Pack 2 x86   
 Out of date service pack!! 
 Internet Explorer 7 Out of date! 
``````````````Antivirus/Firewall Check:`````````````` 
 ESET Online Scanner v3   
 McAfee Internet Security    
 McAfee Online Backup    
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 Java 7 Update 17  
 Java(TM) 6 Update 2  
 Java(TM) 6 Update 3  
 Java(TM) 6 Update 5  
 Adobe Reader 10.1.6 Adobe Reader out of Date!  
 Google Chrome 25.0.1364.152  
 Google Chrome 25.0.1364.172  
````````Process Check: objlist.exe by Laurent````````  
 McAfee Online Backup MOBKbackup.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````

aharonov · 22.03.2013, 14:49

Hallo,

das ESET-Log sieht schlimmer aus als es ist. Sind nur Funde in Quarantäne und in der Systemwiederherstellung. Beides werden wir noch löschen.
Aber dein Update-Stand ist ziemlich schlimm. So im Internet herumzurennen ist gefährlich - wie du wohl selbst bereits bemerkt hast.

Schritt 1

Lade das unten an diesen Post angehängte File resetdma.zip herunter und speichere es auf deinen Desktop.

Entpacke das zip-Archiv (Rechtsklick -> Alle extrahieren...).
Starte die darin enthaltene resetdma.vbs mit einem Doppelklick.
Folge den Anweisungen und starte nach Beendigung den Rechner neu auf.

Schritt 2

Drücke die

+ R Taste, schreibe "notepad" in das Ausführen Fenster und drücke OK.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:

Code:

ATTFilter

>checkDMA.txt 2>&1 (
reg query "HKLM\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0"
reg query "HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}" /s
)
notepad checkDMA.txt

Speichere es unter dem Dateinamen reglook.bat auf den Desktop.
(Achte darauf, dass bei Dateityp "Alle Dateien" angegeben ist.)
Starte die reglook.bat.
Vista und Win7 User: Mit Rechtsklick "als Administrator ausführen"
Zum Schluss wird sich ein Notepadfenster öffnen. Kopiere dessen gesamten Inhalt hier in den Thread.
(Nachträglich findest du diese Logdatei auch als checkDMA.txt auf dem Desktop.)

Schritt 3

Downloade und installiere das Service Pack 3 für Windows XP.

Schritt 4

Downloade und installiere den Internet Explorer 8.
Der Internet Explorer sollte auch dann aktuell gehalten werden, wenn er nicht zum Surfen verwendet wird.

Schritt 5

Gehe zu Start --> Systemsteuerung und öffne Software.
Suche und deinstalliere dort der Reihe nach folgende Einträge:
- Java(TM) 6 Update 2
- Java(TM) 6 Update 3
- Java(TM) 6 Update 5
Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

Schritt 6

Die Version deines Adobe PDF Readers ist veraltet, wir müssen ihn updaten:

Deinstalliere bitte deine aktuelle Version von Adobe Reader über
Start --> Systemsteuerung --> Software (bei Windows XP)
Start --> Systemsteuerung --> Programme und Funktionen (bei Vista / Windows 7)
Besuche diese Seite von Adobe.
Entferne gegebenenfalls den Haken bei McAfee Security Scan bzw. Google Chrome.
Drücke auf Jetzt herunterladen und installiere die neuste Version.

Überprüfe dann mit diesem Plugin-Check, ob nun alle deine verwendeten Versionen aktuell sind und update sie anderenfalls.

Schritt 7

Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Vista und Win7 User mit Rechtsklick "als Administrator starten"
Wenn der Scan beendet wurde, sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Log des bat-Skripts
Log von SecurityCheck

ALKA889 · 25.03.2013, 12:16

Hey,

es dauert noch ein Stück bis ich weiterarbeiten kann. Bin unterwegs und habe den Rechner nicht vor Ort. Also nicht wundern.

Trotzdem danke nochmals für die Hilfe. Ich poste die weiteren Details wenn ich wieder Zugriff habe.

aharonov · 25.03.2013, 14:10

Alles klar, danke für die Mitteilung.

ALKA889 · 02.04.2013, 17:50

bat skript

Code:

ATTFilter

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi\Scsi Port 0
    DMAEnabled	REG_DWORD	0x0
    Driver	REG_SZ	atapi

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}
    Class	REG_SZ	hdc
    <NO NAME>	REG_SZ	IDE ATA/ATAPI-Controller
    Icon	REG_SZ	-9
    Installer32	REG_SZ	SysSetup.Dll,HdcClassInstaller
    TroubleShooter-0	REG_SZ	hcp://help/tshoot/tsdrive.htm
    UpperFilters	REG_MULTI_SZ	xfilt\0\0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0000
    TransferModeTiming	REG_MULTI_SZ	18\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\015\0\0
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	viaide_Inst
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.1106
    MatchingDeviceId	REG_SZ	pci\ven_1106&dev_0571
    DriverDesc	REG_SZ	VIA Bus-Master-IDE-Controller

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0001
    EnumPropPages32	REG_SZ	storprop.dll,IdePropPageProvider
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	atapi_Inst_primary
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.1106
    MatchingDeviceId	REG_SZ	primary_ide_channel
    DriverDesc	REG_SZ	Primärer IDE-Kanal
    MasterDeviceType	REG_DWORD	0x1
    SlaveDeviceType	REG_DWORD	0x0
    MasterDeviceTimingMode	REG_DWORD	0x10010
    MasterDeviceTimingModeAllowed	REG_DWORD	0xffffffff
    SlaveDeviceTimingMode	REG_DWORD	0x0
    ResetErrorCountersOnSuccess	REG_DWORD	0x1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0002
    EnumPropPages32	REG_SZ	storprop.dll,IdePropPageProvider
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	atapi_Inst_secondary
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.1106
    MatchingDeviceId	REG_SZ	secondary_ide_channel
    DriverDesc	REG_SZ	Sekundärer IDE-Kanal
    MasterDeviceType	REG_DWORD	0x2
    SlaveDeviceType	REG_DWORD	0x0
    SlaveDeviceDetectionTimeout	REG_DWORD	0x1
    MasterDeviceTimingMode	REG_DWORD	0x2010
    MasterDeviceTimingModeAllowed	REG_DWORD	0xffffffff
    SlaveDeviceTimingMode	REG_DWORD	0x0
    ResetErrorCountersOnSuccess	REG_DWORD	0x1

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0003
    TransferModeTiming	REG_MULTI_SZ	18\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\00\015\0\0
    InfPath	REG_SZ	oem21.inf
    InfSection	REG_SZ	vide_PATA_Inst_x32
    ProviderName	REG_SZ	VIA Technologies, Inc.
    DriverDateData	REG_BINARY	00004B307FF1C601
    DriverDate	REG_SZ	10-17-2006
    DriverVersion	REG_SZ	6.0.5728.160
    MatchingDeviceId	REG_SZ	pci\ven_1106&dev_0571
    DriverDesc	REG_SZ	VIA Bus Master IDE Controller - 0571
    InfSectionExt	REG_SZ	.NTx86

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0004
    InfPath	REG_SZ	oem21.inf
    InfSection	REG_SZ	vide_Inst_x32
    ProviderName	REG_SZ	VIA Technologies, Inc.
    DriverDateData	REG_BINARY	00004B307FF1C601
    DriverDate	REG_SZ	10-17-2006
    DriverVersion	REG_SZ	6.0.5728.160
    MatchingDeviceId	REG_SZ	pci\ven_1106&dev_0591&cc_0101
    DriverDesc	REG_SZ	VIA Serial ATA Controller - 0591
    InfSectionExt	REG_SZ	.NTx86

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0005
    EnumPropPages32	REG_SZ	storprop.dll,IdePropPageProvider
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	atapi_Inst_primary
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.2180
    MatchingDeviceId	REG_SZ	primary_ide_channel
    DriverDesc	REG_SZ	Primärer IDE-Kanal
    MasterDeviceType	REG_DWORD	0x2
    SlaveDeviceType	REG_DWORD	0x0
    SlaveDeviceDetectionTimeout	REG_DWORD	0x1
    MasterDeviceTimingMode	REG_DWORD	0x2010
    MasterDeviceTimingModeAllowed	REG_DWORD	0xffffffff
    SlaveDeviceTimingMode	REG_DWORD	0x0
    ResetErrorCountersOnSuccess	REG_DWORD	0x1
    MasterIdDataCheckSum	REG_DWORD	0x54fe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0006
    EnumPropPages32	REG_SZ	storprop.dll,IdePropPageProvider
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	atapi_Inst_secondary
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.2180
    MatchingDeviceId	REG_SZ	secondary_ide_channel
    DriverDesc	REG_SZ	Sekundärer IDE-Kanal
    MasterDeviceType	REG_DWORD	0x1
    SlaveDeviceType	REG_DWORD	0x0
    MasterDeviceTimingMode	REG_DWORD	0x10010
    MasterDeviceTimingModeAllowed	REG_DWORD	0xffffffff
    SlaveDeviceTimingMode	REG_DWORD	0x0
    ResetErrorCountersOnSuccess	REG_DWORD	0x1
    MasterIdDataCheckSum	REG_DWORD	0x162eb

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0007
    EnumPropPages32	REG_SZ	storprop.dll,IdePropPageProvider
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	atapi_Inst_primary
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.2180
    MatchingDeviceId	REG_SZ	primary_ide_channel
    DriverDesc	REG_SZ	Primärer IDE-Kanal
    MasterDeviceType	REG_DWORD	0x0
    SlaveDeviceType	REG_DWORD	0x0
    MasterDeviceTimingMode	REG_DWORD	0x0
    SlaveDeviceTimingMode	REG_DWORD	0x0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\0008
    EnumPropPages32	REG_SZ	storprop.dll,IdePropPageProvider
    InfPath	REG_SZ	mshdc.inf
    InfSection	REG_SZ	atapi_Inst_secondary
    ProviderName	REG_SZ	Microsoft
    DriverDateData	REG_BINARY	008062C5C001C101
    DriverDate	REG_SZ	7-1-2001
    DriverVersion	REG_SZ	5.1.2600.2180
    MatchingDeviceId	REG_SZ	secondary_ide_channel
    DriverDesc	REG_SZ	Sekundärer IDE-Kanal
    MasterDeviceType	REG_DWORD	0x0
    SlaveDeviceType	REG_DWORD	0x0
    MasterDeviceTimingMode	REG_DWORD	0x0
    SlaveDeviceTimingMode	REG_DWORD	0x0

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties
Error:  Access is denied in the key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96A-E325-11CE-BFC1-08002BE10318}\Properties

Security Check

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.61  
 Windows XP Service Pack 3 x86   
 Internet Explorer 8  
``````````````Antivirus/Firewall Check:`````````````` 
 ESET Online Scanner v3   
 McAfee Internet Security    
 McAfee Online Backup    
`````````Anti-malware/Other Utilities Check:````````` 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 Java 7 Update 17  
 Adobe Reader XI  
 Google Chrome 25.0.1364.172  
 Google Chrome 26.0.1410.43  
````````Process Check: objlist.exe by Laurent````````  
 McAfee Online Backup MOBKbackup.exe   
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````

21.03.2013, 21:52	#10
aharonov /// TB-Ausbilder	Virus Hotel.de Spam im PDF Format - explorer.exe öffnet sich nicht mehr automatisch Ok, fehlen nur noch ESET und SecurityCheck __________________ cheers, Leo

25.03.2013, 14:10	#14
aharonov /// TB-Ausbilder	Virus Hotel.de Spam im PDF Format - explorer.exe öffnet sich nicht mehr automatisch Alles klar, danke für die Mitteilung. __________________ cheers, Leo

Virus Hotel.de Spam im PDF Format - explorer.exe öffnet sich nicht mehr automatisch

Plagegeister aller Art und deren Bekämpfung: Virus Hotel.de Spam im PDF Format - explorer.exe öffnet sich nicht mehr automatisch