TR/ATRAPS.Gen2 und TR/Sirefef.AG.9 - Warnungen im 5-Minutentakt

Blutmond · 26.03.2013, 04:37

Moin Moin,

habe immer wieder durch Antivir den Hinweis bekommen: "Es wurden 2 Viren oder unerwünschte Programme gefunden!"
In der Datei 'C:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135\U\80000000.@'
wurde ein Virus oder unerwünschtes Programm 'TR/Sirefef.AG.9' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern
In der Datei 'C:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135\U\800000cb.@'
wurde ein Virus oder unerwünschtes Programm 'TR/ATRAPS.Gen2' [trojan] gefunden.
Ausgeführte Aktion: Zugriff verweigern

Habe dann (hoffentlich richtig) nach Eurer erste Hilfe-Anleitung die beschriebenen Schritte durchgeführt:
Als erstes den Scan mit Malwarebytes, dazu folgende Logfiles:

Code:

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.25.13

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
kerstin :: FIRMA-BECF06D25 [Administrator]

25.03.2013 18:02:08
MBAM-log-2013-03-25 (18-16-36).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 243411
Laufzeit: 5 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_XMLLookup (Hijacker.XMLLookup) -> Daten: hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_Application (Hijacker.Application) -> Daten: hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_intl (Hijacker.intl) -> Daten: hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s -> Keine Aktion durchgeführt.

Infizierte Dateiobjekte der Registrierung: 8
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135\n.) Gut: (fastprox.dll) -> Keine Aktion durchgeführt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-1957994488-1417001333-682003330-1004\$c4dccb00ba74882ba8fa7c475bb6b135\n.) Gut: (shell32.dll) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|XMLLookup (Hijacker.XMLLookup) -> Bösartig: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Gut: (hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|Application (Hijacker.Application) -> Bösartig: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Gut: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Keine Aktion durchgeführt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|intl (Hijacker.intl) -> Bösartig: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Gut: (hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Keine Aktion durchgeführt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135\n (Trojan.0Access) -> Keine Aktion durchgeführt.
C:\RECYCLER\S-1-5-21-1957994488-1417001333-682003330-1004\$c4dccb00ba74882ba8fa7c475bb6b135\n (Trojan.0Access) -> Keine Aktion durchgeführt.

(Ende)

Code:

ATTFilter

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Datenbank Version: v2013.03.25.13

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
kerstin :: FIRMA-BECF06D25 [Administrator]

25.03.2013 18:02:08
mbam-log-2013-03-25 (18-02-08).txt

Art des Suchlaufs: Quick-Scan
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 243411
Laufzeit: 5 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_XMLLookup (Hijacker.XMLLookup) -> Daten: hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_Application (Hijacker.Application) -> Daten: hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> Erfolgreich gelöscht und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|bak_intl (Hijacker.intl) -> Daten: hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s -> Erfolgreich gelöscht und in Quarantäne gestellt.

Infizierte Dateiobjekte der Registrierung: 8
HKCR\CLSID\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135\n.) Gut: (fastprox.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKCR\CLSID\{FBEB8A05-BEEE-4442-804E-409D6C4515E9}\InProcServer32| (Trojan.0Access) -> Bösartig: (C:\RECYCLER\S-1-5-21-1957994488-1417001333-682003330-1004\$c4dccb00ba74882ba8fa7c475bb6b135\n.) Gut: (shell32.dll) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bösartig: (1) Gut: (0) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|XMLLookup (Hijacker.XMLLookup) -> Bösartig: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Gut: (hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|Application (Hijacker.Application) -> Bösartig: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Gut: (hxxp://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Erfolgreich ersetzt und in Quarantäne gestellt.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations|intl (Hijacker.intl) -> Bösartig: (hxxp://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Gut: (hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> Erfolgreich ersetzt und in Quarantäne gestellt.

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135\n (Trojan.0Access) -> Löschen bei Neustart.
C:\RECYCLER\S-1-5-21-1957994488-1417001333-682003330-1004\$c4dccb00ba74882ba8fa7c475bb6b135\n (Trojan.0Access) -> Löschen bei Neustart.

(Ende)

Danach gab es schon mal keine Warnung mehr von AntiVir.

Bin dann später den weiteren Anweisungen gefolgt und hab Defogger, OTL und GMER runtergeladen. Dazu nun die jeweils entsprechenden Logfiles:

Defogger
defogger_disable by jpshortstuff (23.02.10.1)
Log created at 01:03 on 26/03/2013 (kerstin)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

OTL

Code:

ATTFilter

OTL logfile created on: 26.03.2013 01:06:02 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = F:\Sicherheit\OTL
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,23 Mb Total Physical Memory | 638,80 Mb Available Physical Memory | 62,43% Memory free
2,41 Gb Paging File | 2,04 Gb Available in Paging File | 84,67% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 3,75 Gb Free Space | 19,19% Space Free | Partition Type: NTFS
Drive D: | 45,90 Gb Total Space | 38,82 Gb Free Space | 84,57% Space Free | Partition Type: NTFS
Drive E: | 58,59 Gb Total Space | 51,47 Gb Free Space | 87,84% Space Free | Partition Type: NTFS
Drive F: | 62,27 Gb Total Space | 39,94 Gb Free Space | 64,14% Space Free | Partition Type: NTFS
 
Computer Name: FIRMA-BECF06D25 | User Name: kerstin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.03.25 23:47:49 | 000,602,112 | ---- | M] (OldTimer Tools) -- F:\Sicherheit\OTL\OTL.exe
PRC - [2013.03.08 19:20:06 | 000,170,912 | ---- | M] (Oracle Corporation) -- C:\Programme\Java\jre7\bin\jqs.exe
PRC - [2013.02.22 13:04:01 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2013.02.22 13:03:49 | 000,079,584 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2013.02.22 13:03:48 | 000,385,248 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2013.02.22 13:03:48 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2013.02.08 23:20:15 | 001,199,576 | ---- | M] (Spotify Ltd) -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe
PRC - [2012.07.03 08:04:54 | 000,252,848 | ---- | M] (Sun Microsystems, Inc.) -- C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
PRC - [2009.05.14 16:07:14 | 000,759,048 | ---- | M] (ABBYY) -- C:\Programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe
PRC - [2008.04.14 03:22:45 | 001,036,800 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
PRC - [2005.10.18 15:00:10 | 000,241,152 | ---- | M] (ASUSTeK COMPUTER INC.) -- C:\WINDOWS\ATKKBService.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2012.12.18 15:28:26 | 000,301,056 | ---- | M] () -- C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.DEU
MOD - [2012.09.19 18:17:40 | 000,397,088 | ---- | M] () -- C:\Programme\Avira\AntiVir Desktop\sqlite3.dll
MOD - [2012.02.17 19:55:35 | 000,166,912 | ---- | M] () -- D:\Winrar\RarExt.dll
MOD - [2011.10.08 05:50:00 | 000,355,432 | ---- | M] () -- C:\Programme\NVIDIA Corporation\nView\nvShell.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [On_Demand | Stopped] -- %SystemRoot%\System32\appmgmts.dll -- (AppMgmt)
SRV - [2013.03.13 20:56:17 | 000,253,656 | ---- | M] (Adobe Systems Incorporated) [On_Demand | Stopped] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2013.03.09 00:16:52 | 000,115,608 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.03.08 19:20:06 | 000,170,912 | ---- | M] (Oracle Corporation) [Auto | Running] -- C:\Programme\Java\jre7\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2013.02.22 13:04:01 | 000,086,752 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2013.02.22 13:03:48 | 000,110,816 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2009.05.14 16:07:14 | 000,759,048 | ---- | M] (ABBYY) [Auto | Running] -- C:\Programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe -- (ABBYY.Licensing.FineReader.Sprint.9.0)
SRV - [2008.11.04 00:06:28 | 000,441,712 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2006.10.26 13:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2005.10.18 15:00:10 | 000,241,152 | ---- | M] (ASUSTeK COMPUTER INC.) [Auto | Running] -- C:\WINDOWS\ATKKBService.exe -- (ATKKeyboardService)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (WDICA)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\wanatw4.sys -- (wanatw)
DRV - File not found [Kernel | On_Demand | Stopped] -- K:\NTGLM7X.sys -- (SetupNTGLM7X)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDRELI)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDFRAME)
DRV - File not found [Kernel | On_Demand | Stopped] --  -- (PDCOMP)
DRV - File not found [Kernel | System | Stopped] --  -- (PCIDump)
DRV - File not found [Kernel | On_Demand | Stopped] -- K:\NTACCESS.sys -- (NTACCESS)
DRV - File not found [Kernel | On_Demand | Stopped] -- K:\install4\MSICPL.sys -- (MSICPL)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\massfilter.sys -- (massfilter)
DRV - File not found [Kernel | System | Stopped] --  -- (lbrtfdc)
DRV - File not found [Kernel | System | Stopped] --  -- (i2omgmt)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HSPADataCardusbser.sys -- (HSPADataCardusbser)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HSPADataCardusbnmea.sys -- (HSPADataCardusbnmea)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\HSPADataCardusbmdm.sys -- (HSPADataCardusbmdm)
DRV - File not found [Kernel | On_Demand | Stopped] -- K:\INSTALL\GMSIPCI.SYS -- (GMSIPCI)
DRV - File not found [Kernel | System | Stopped] --  -- (Changer)
DRV - [2013.02.22 13:04:03 | 000,134,336 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb)
DRV - [2013.02.22 13:04:03 | 000,083,944 | ---- | M] (Avira Operations GmbH & Co. KG) [File_System | Auto | Running] -- C:\WINDOWS\system32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2013.02.22 13:04:03 | 000,036,552 | ---- | M] (Avira Operations GmbH & Co. KG) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2012.08.27 14:50:24 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2008.05.02 09:58:28 | 000,008,064 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerfltj.sys -- (UsbserFilt)
DRV - [2008.05.02 09:58:14 | 000,020,864 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmbo.sys -- (nmwcdc)
DRV - [2008.05.02 09:58:14 | 000,008,064 | ---- | M] (Windows (R) Codename Longhorn DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\usbser_lowerflt.sys -- (upperdev)
DRV - [2008.05.02 09:58:12 | 000,017,536 | ---- | M] (Nokia) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\ccdcmb.sys -- (nmwcd)
DRV - [2006.02.08 09:26:00 | 000,011,264 | R--- | M] (ASUSTeK Computer Inc.) [Kernel | Auto | Running] -- C:\WINDOWS\system32\drivers\EIO.sys -- (EIO)
DRV - [2005.10.18 15:01:38 | 000,011,008 | ---- | M] (ASUSTeK COMPUTER INC.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\atkkbnt.sys -- (asuskbnt)
DRV - [2005.08.11 06:49:28 | 000,393,088 | R--- | M] (Sensaura) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\senfilt.sys -- (SenFiltService)
DRV - [2005.07.22 11:02:12 | 001,035,008 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_DPV.sys -- (HSF_DPV)
DRV - [2005.07.22 11:01:10 | 000,231,168 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSFHWBS2.sys -- (HSFHWBS2)
DRV - [2005.07.22 11:01:00 | 000,717,952 | ---- | M] (Conexant Systems, Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\HSF_CNXT.sys -- (winachsf)
DRV - [2005.03.22 13:36:40 | 000,028,672 | R--- | M] (ULi Electronics Inc.) [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ULILAN51.SYS -- (ULI5261XP)
DRV - [2004.10.27 15:21:30 | 000,145,920 | ---- | M] (Windows (R) Server 2003 DDK provider) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\Hdaudio.sys -- (HdAudAddService)
DRV - [2004.08.13 11:56:20 | 000,005,810 | R--- | M] () [Kernel | On_Demand | Running] -- C:\WINDOWS\system32\drivers\ASACPI.sys -- (MTsensor)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
IE - HKCU\..\SearchScopes,DefaultScope = {1B6CFAF8-4C59-404D-8BA1-702425746B6D}
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{1B6CFAF8-4C59-404D-8BA1-702425746B6D}: "URL" = hxxp://www.google.de/search?q={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = 63.245.25.82:80
 
========== FireFox ==========
 
FF - prefs.js..browser.search.update: false
FF - prefs.js..browser.startup.homepage: "hxxp://www.google.de/"
FF - prefs.js..extensions.enabledAddons: %7BACAA314B-EEBA-48e4-AD47-84E31C44796C%7D:4.2.1.9
FF - prefs.js..extensions.enabledAddons: status4evar%40caligonstudios.com:2013.02.16.23
FF - prefs.js..extensions.enabledAddons: %7B972ce4c6-7e08-4474-a285-3208198ce6fd%7D:19.0.2
FF - prefs.js..extensions.enabledItems: jqs@sun.com:1.0
FF - prefs.js..extensions.enabledItems: firefox@tvunetworks.com:2
FF - prefs.js..extensions.enabledItems: 5
FF - prefs.js..extensions.enabledItems: 2
FF - prefs.js..extensions.enabledItems: 2
FF - prefs.js..extensions.enabledItems: {ACAA314B-EEBA-48e4-AD47-84E31C44796C}:1.0.1
 
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\WINDOWS\system32\Macromed\Flash\NPSWF32_11_6_602_180.dll ()
FF - HKLM\Software\MozillaPlugins\@Google.com/GoogleEarthPlugin: C:\Programme\Google\Google Earth\plugin\npgeplugin.dll (Google)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.17.2: C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.17.2: C:\Programme\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Programme\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/WPF,version=3.5: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Programme\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
FF - HKLM\Software\MozillaPlugins\@zylom.com/ZylomGamesPlayer: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll (Zylom)
FF - HKLM\Software\MozillaPlugins\Adobe Reader: C:\Programme\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll (Adobe Systems Inc.)
 
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Components: F:\Mozilla\components [2013.03.09 00:16:52 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Firefox 19.0.2\extensions\\Plugins: F:\Mozilla\plugins [2013.02.24 18:00:40 | 000,000,000 | ---D | M]
 
[2010.04.02 17:24:07 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Extensions
[2013.03.22 00:59:41 | 000,000,000 | ---D | M] (No name found) -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\extensions
[2010.04.11 12:28:34 | 000,000,000 | ---D | M] (TVU Web Player) -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\extensions\firefox@tvunetworks.com
[2013.02.19 01:41:56 | 000,151,803 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\extensions\status4evar@caligonstudios.com.xpi
[2013.03.22 00:59:41 | 000,549,639 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\extensions\toolbar@web.de.xpi
[2012.12.12 02:16:07 | 000,036,098 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C}.xpi
[2011.07.17 14:33:29 | 000,090,118 | ---- | M] () (No name found) -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\extensions\{dd05fd3d-18df-4ce4-ae53-e795339c5f01}.xpi
[2012.06.04 00:22:45 | 000,000,853 | ---- | M] () -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\searchplugins\11-suche.xml
[2012.06.04 00:22:45 | 000,002,209 | ---- | M] () -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\searchplugins\englische-ergebnisse.xml
[2012.06.04 00:22:45 | 000,010,506 | ---- | M] () -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\searchplugins\gmx-suche.xml
[2012.06.04 00:22:45 | 000,002,368 | ---- | M] () -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\searchplugins\lastminute.xml
[2012.06.04 00:22:45 | 000,005,489 | ---- | M] () -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\searchplugins\webde-suche.xml
 
O1 HOSTS File: ([2013.02.06 02:21:21 | 000,000,866 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts
O1 - Hosts: 127.0.0.1       localhost
O1 - Hosts: 209.59.135.116   www.playforyourclub.com
O2 - BHO: (Adobe PDF Link Helper) - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated)
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\EPSON Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\EPSON Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION)
O4 - HKLM..\Run: [avgnt] C:\Programme\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKLM..\Run: [NvCplDaemon] C:\WINDOWS\System32\NvCpl.dll (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] nwiz.exe /install File not found
O4 - HKLM..\Run: [SunJavaUpdateSched] C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe (Sun Microsystems, Inc.)
O4 - HKCU..\Run: [Hifuahu] C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Xohuil\waosq.exe ()
O4 - HKCU..\Run: [Spotify Web Helper] C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe (Spotify Ltd)
O4 - HKLM..\RunOnce: [ Malwarebytes Anti-Malware ] F:\Sicherheit\Neuer Ordner\Malwarebytes' Anti-Malware\mbamgui.exe (Malwarebytes Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O15 - HKCU\..Trusted Domains: com.tw ([asia.msi] http in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: com.tw ([global.msi] http in Vertrauenswürdige Sites)
O15 - HKCU\..Trusted Domains: com.tw ([www.msi] http in Vertrauenswürdige Sites)
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} hxxp://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1270226981359 (MUWebControl Class)
O16 - DPF: {8167C273-DF59-4416-B647-C8BB2C7EE83E} hxxp://liveupdate.msi.com.tw/autobios/LOnline/install.cab (WebSDev Control)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{AD682EE3-E5A3-4BFF-B062-CD690FD94F43}: DhcpNameServer = 192.168.178.1
O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Programme\Gemeinsame Dateien\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Filter\text/xml {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\userinit.exe) - C:\WINDOWS\system32\userinit.exe (Microsoft Corporation)
O24 - Desktop Components:0 (Die derzeitige Homepage) - About:Home
O24 - Desktop WallPaper: C:\Dokumente und Einstellungen\kerstin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O24 - Desktop BackupWallPaper: C:\Dokumente und Einstellungen\kerstin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2010.02.26 14:07:26 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]
O33 - MountPoints2\{4a266fd4-353a-11df-9319-0015f2e28730}\Shell - "" = AutoRun
O33 - MountPoints2\{4a266fd4-353a-11df-9319-0015f2e28730}\Shell\AutoRun - "" = Auto&Play
O33 - MountPoints2\{4a266fd4-353a-11df-9319-0015f2e28730}\Shell\AutoRun\command - "" = L:\LaunchU3.exe -a
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.03.25 17:50:52 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Malwarebytes
[2013.03.25 17:46:46 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
[2013.03.25 17:46:45 | 000,021,104 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[2013.03.24 19:40:18 | 000,000,000 | RH-D | C] -- C:\Dokumente und Einstellungen\kerstin\Recent
[2013.03.24 15:56:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Xohuil
[2013.03.24 15:56:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mouhyb
[2013.03.24 15:56:35 | 000,000,000 | ---D | C] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Ipuho
[2010.04.07 23:35:08 | 004,386,808 | ---- | C] (Adobe Systems Inc.) -- C:\Programme\Shockwave_Installer_Slim.exe
[2010.03.11 21:28:24 | 000,299,864 | ---- | C] (Microsoft Corporation) -- C:\Programme\dxwebsetup.exe
[2010.03.11 21:16:57 | 035,113,704 | ---- | C] (Microsoft Corporation) -- C:\Programme\directx_9c_redist.exe
[2004.07.09 04:08:36 | 000,472,576 | ---- | C] (Microsoft Corporation) -- C:\Programme\dxsetup.exe
[2004.07.09 04:08:34 | 002,242,560 | ---- | C] (Microsoft Corporation) -- C:\Programme\dsetup32.dll
[2004.07.09 03:03:10 | 000,062,976 | ---- | C] (Microsoft Corporation) -- C:\Programme\DSETUP.dll
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\Programme\*.tmp files -> C:\Programme\*.tmp -> ]
 
========== Files - Modified Within 30 Days ==========
 
[2013.03.26 01:03:36 | 000,000,000 | ---- | M] () -- C:\Dokumente und Einstellungen\kerstin\defogger_reenable
[2013.03.26 00:56:00 | 000,000,884 | ---- | M] () -- C:\WINDOWS\tasks\Adobe Flash Player Updater.job
[2013.03.26 00:44:00 | 000,001,218 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1957994488-1417001333-682003330-1005UA.job
[2013.03.26 00:39:00 | 000,001,092 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job
[2013.03.25 23:39:00 | 000,001,088 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
[2013.03.25 23:19:42 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[2013.03.25 15:44:00 | 000,001,166 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskUserS-1-5-21-1957994488-1417001333-682003330-1005Core.job
[2013.03.24 15:28:50 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[2013.03.14 17:13:01 | 000,050,176 | ---- | M] () -- C:\Dokumente und Einstellungen\kerstin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[5 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\System32\drivers\*.tmp files -> C:\WINDOWS\System32\drivers\*.tmp -> ]
[1 C:\WINDOWS\System32\dllcache\*.tmp files -> C:\WINDOWS\System32\dllcache\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\Programme\*.tmp files -> C:\Programme\*.tmp -> ]
 
========== Files Created - No Company Name ==========
 
[2013.03.26 01:03:36 | 000,000,000 | ---- | C] () -- C:\Dokumente und Einstellungen\kerstin\defogger_reenable
[2012.07.14 04:46:45 | 000,000,000 | ---- | C] () -- C:\WINDOWS\EEventManager.INI
[2012.03.31 21:24:28 | 000,000,041 | ---- | C] () -- C:\WINDOWS\Filzip.ini
[2012.03.01 17:05:20 | 000,001,456 | ---- | C] () -- C:\Dokumente und Einstellungen\kerstin\Lokale Einstellungen\Anwendungsdaten\Adobe Für Web speichern 12.0 Prefs
[2011.11.29 06:13:38 | 002,130,002 | ---- | C] () -- C:\WINDOWS\System32\nvdata.data
[2010.11.14 21:33:57 | 000,164,192 | ---- | C] () -- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\FontCache3.0.0.0.dat
[2010.04.14 18:09:24 | 000,000,157 | ---- | C] () -- C:\Dokumente und Einstellungen\kerstin\default.pls
[2010.03.06 09:11:17 | 000,050,176 | ---- | C] () -- C:\Dokumente und Einstellungen\kerstin\Lokale Einstellungen\Anwendungsdaten\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[2004.07.22 10:51:34 | 003,432,656 | ---- | C] () -- C:\Programme\ManagedDX.CAB
[2004.07.19 22:58:36 | 001,156,363 | ---- | C] () -- C:\Programme\BDANT.cab
[2004.07.19 22:53:26 | 000,976,020 | ---- | C] () -- C:\Programme\BDAXP.cab
[2004.07.09 14:17:16 | 013,265,040 | ---- | C] () -- C:\Programme\dxnt.cab
[2004.07.09 09:13:48 | 015,493,481 | ---- | C] () -- C:\Programme\DirectX.cab
[2004.07.09 09:13:46 | 000,703,080 | ---- | C] () -- C:\Programme\BDA.cab
 
========== ZeroAccess Check ==========
 
[2010.10.17 21:28:06 | 000,000,227 | RHS- | M] () -- C:\WINDOWS\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
"ThreadingModel" = Both
"" = shell32.dll -- [2010.07.27 07:29:42 | 008,503,296 | ---- | M] (Microsoft Corporation)
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shdocvw.dll -- [2008.04.14 03:22:25 | 001,499,136 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = fastprox.dll -- [2009.02.09 11:51:44 | 000,473,600 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = C:\WINDOWS\system32\wbem\wbemess.dll -- [2008.04.14 03:22:32 | 000,273,920 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== LOP Check ==========
 
[2010.08.14 20:15:53 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
[2010.10.17 21:32:26 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BTrieve
[2012.06.20 22:29:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\elsterformular
[2012.07.15 16:23:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
[2011.08.31 17:31:29 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lexware
[2010.05.08 23:10:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PlayFirst
[2012.07.14 01:12:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UDL
[2010.02.26 14:23:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
[2010.05.14 23:50:22 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
[2010.03.17 08:55:45 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\acccore
[2012.07.17 19:30:50 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Amirza
[2012.07.20 23:45:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Baox
[2012.09.05 16:36:18 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\DVDVideoSoft
[2012.09.05 16:40:44 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\DVDVideoSoftIEHelpers
[2012.06.20 22:32:07 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\elsterformular
[2012.07.15 16:27:55 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Epson
[2010.09.14 17:44:25 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\FinalMediaPlayer
[2012.10.09 14:31:52 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Internet-Manager
[2013.03.24 15:56:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Ipuho
[2010.10.22 18:32:14 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\iWin
[2010.10.17 21:36:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Lexware
[2013.03.25 16:26:37 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mouhyb
[2010.07.06 16:45:00 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\MSNInstaller
[2011.08.14 00:24:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mumble
[2012.03.10 03:14:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\PhotoScape
[2010.05.08 23:10:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\PlayFirst
[2010.08.29 21:06:09 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\SoundSpectrum
[2013.02.10 00:03:32 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Spotify
[2012.02.09 02:04:28 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Thinstall
[2010.04.19 04:06:13 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Uniblue
[2013.03.24 15:56:35 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Xohuil
[2012.07.21 14:15:20 | 000,000,000 | ---D | M] -- C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Ysty
 
========== Purity Check ==========
 
 
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\kerstin\Desktop\Meine PR's.txt:SummaryInformation
@Alternate Data Stream - 88 bytes -> C:\Dokumente und Einstellungen\kerstin\Desktop\ESt2011_Lewandowski_Pascal.elfo:SummaryInformation

< End of report >

OTL Extras

Code:

ATTFilter

OTL Extras logfile created on: 26.03.2013 01:06:02 - Run 1
OTL by OldTimer - Version 3.2.69.0     Folder = F:\Sicherheit\OTL
Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 7.0.5730.13)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
1023,23 Mb Total Physical Memory | 638,80 Mb Available Physical Memory | 62,43% Memory free
2,41 Gb Paging File | 2,04 Gb Available in Paging File | 84,67% Paging File free
Paging file location(s): C:\pagefile.sys 1536 3072 [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Programme
Drive C: | 19,53 Gb Total Space | 3,75 Gb Free Space | 19,19% Space Free | Partition Type: NTFS
Drive D: | 45,90 Gb Total Space | 38,82 Gb Free Space | 84,57% Space Free | Partition Type: NTFS
Drive E: | 58,59 Gb Total Space | 51,47 Gb Free Space | 87,84% Space Free | Partition Type: NTFS
Drive F: | 62,27 Gb Total Space | 39,94 Gb Free Space | 64,14% Space Free | Partition Type: NTFS
 
Computer Name: FIRMA-BECF06D25 | User Name: kerstin | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.url [@ = InternetShortcut] -- rundll32.exe ieframe.dll,OpenURL %l
 
[HKEY_CURRENT_USER\SOFTWARE\Classes\<extension>]
.html [@ = FirefoxHTML] -- F:\Mozilla\firefox.exe (Mozilla Corporation)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- rundll32.exe shell32.dll,Control_RunDLL "%1",%*
exefile [open] -- "%1" %*
InternetShortcut [open] -- rundll32.exe ieframe.dll,OpenURL %l
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [open] -- %SystemRoot%\Explorer.exe /idlist,%I,%L (Microsoft Corporation)
Folder [explore] -- %SystemRoot%\Explorer.exe /e,/idlist,%I,%L (Microsoft Corporation)
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled" = 1
"AntiVirusDisableNotify" = 0
"FirewallDisableNotify" = 0
"UpdatesDisableNotify" = 0
"AntiVirusOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
 
========== System Restore Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]
"DisableSR" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Sr]
"Start" = 0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SrService]
"Start" = 2
 
========== Firewall Settings ==========
 
========== Authorized Applications List ==========
 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{052FDD78-A6EA-3187-8386-C82F4CA3A929}" = Microsoft .NET Framework 3.5 Language Pack SP1 - deu
"{10F63395-157F-4B93-AB4D-702A2FF11942}" = Epson Download Navigator
"{143BE018-D8F8-4014-8CB6-AF63F5799D21}" = ULi LAN Driver
"{15B2BC56-D179-4450-84B9-7A8D7F4CE1B9}" = Lexware Info Service
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{26A24AE4-039D-4CA4-87B4-2F83217017FF}" = Java 7 Update 17
"{28E82311-8616-11E1-BEB0-B8AC6F97B88E}" = Google Earth
"{315ACD04-BCEB-478B-9B1D-5431D0E6CB11}" = ASUS Enhanced Display Driver
"{350C97B3-3D7C-4EE8-BAA9-00BCB3D54227}" = WebFldrs XP
"{3E31400D-274E-4647-916C-2CACC3741799}" = EpsonNet Print
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4B526075-AF27-47A2-860D-3DA92928A051}" = Steuer 2010
"{837b34e3-7c30-493c-8f6a-2b0f04e2912c}" = Microsoft Visual C++ 2005 Redistributable
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{8ED43F7E-A8F6-4898-AF11-B6158F2EDF94}" = Epson Event Manager
"{90120000-0010-0407-0000-0000000FF1CE}" = Microsoft Software Update for Web Folders  (German) 12
"{90120000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2007
"{90120000-0015-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2007
"{90120000-0016-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2007
"{90120000-0018-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2007
"{90120000-0019-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2007
"{90120000-001A-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2007
"{90120000-001B-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2007
"{90120000-001F-0407-0000-0000000FF1CE}_ENTERPRISE_{A0516415-ED61-419A-981D-93596DA74165}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2007
"{90120000-001F-0409-0000-0000000FF1CE}_ENTERPRISE_{ABDDE972-355B-4AF1-89A8-DA50B7B5C045}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2007
"{90120000-001F-040C-0000-0000000FF1CE}_ENTERPRISE_{F580DDD5-8D37-4998-968E-EBB76BB86787}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2007
"{90120000-001F-0410-0000-0000000FF1CE}_ENTERPRISE_{322296D4-1EAE-4030-9FBC-D2787EB25FA2}" = Microsoft Office Proofing Tools 2007 Service Pack 2 (SP2)
"{90120000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2007
"{90120000-0030-0000-0000-0000000FF1CE}" = Microsoft Office Enterprise 2007
"{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{0B36C6D6-F5D8-4EAF-BF94-4376A230AD5B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-0044-0407-0000-0000000FF1CE}" = Microsoft Office InfoPath MUI (German) 2007
"{90120000-0044-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2007
"{90120000-006E-0407-0000-0000000FF1CE}_ENTERPRISE_{26454C26-D259-4543-AA60-3189E09C5F76}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2007
"{90120000-00A1-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{90120000-00BA-0407-0000-0000000FF1CE}" = Microsoft Office Groove MUI (German) 2007
"{90120000-00BA-0407-0000-0000000FF1CE}_ENTERPRISE_{9BD40163-B95D-4B07-8991-0AB775B6D88B}" = Microsoft Office 2007 Service Pack 2 (SP2)
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A3051CD0-2F64-3813-A88D-B8DCCDE8F8C7}" = Microsoft .NET Framework 3.0 Service Pack 2
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{AC76BA86-7AD7-1031-7B44-AA1000000001}" = Adobe Reader X (10.1.6) - Deutsch
"{B2D55EB8-32C5-4B43-9006-9E97DECBA178}" = Epson Easy Photo Print Plug-in for PMB(Picture Motion Browser)
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 285.58
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 285.58
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NView" = NVIDIA nView 135.95
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{BC4AE628-81A4-4FC6-863A-7A9BA2E2531F}" = Nokia Connectivity Cable Driver
"{C09FB3CD-3D0C-3F2D-899A-6A1D67F2073F}" = Microsoft .NET Framework 2.0 Service Pack 2
"{C2C284D2-6BD7-3B34-B0C5-B2CAED168DF7}" = Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - DEU
"{C314CE45-3392-3B73-B4E1-139CD41CA933}" = Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - DEU
"{C3E9887A-23BA-4777-8080-191A5AFCAB74}" = Mumble 1.2.3
"{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}" = Microsoft .NET Framework 3.5 SP1
"{D16A31F9-276D-4968-A753-FFEAC56995D0}" = Epson Print CD
"{F0A37341-D692-11D4-A984-009027EC0A9C}" = SoundMAX
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F9000000-0018-0000-0000-074957833700}" = ABBYY FineReader 9.0 Sprint
"{FDC53DC6-137A-4541-BFA2-A9BAE4A7FE99}" = ULi Sata Driver
"{FFF841F3-9A15-4F61-BD16-C19F132E5A27}" = Epson Easy Photo Print 2
"ABBYY FineReader 9.0 Sprint" = ABBYY FineReader 9.0 Sprint
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"AIM_6" = AIM
"AsusUpdate" = AsusUpdate
"Avira AntiVir Desktop" = Avira Free Antivirus
"CCleaner" = CCleaner
"CNXT_MODEM_PCI_VEN_14F1&DEV_2F20&SUBSYS_200014F1" = Soft Data Fax Modem with SmartCP
"ElsterFormular 13.2.0.8623p" = ElsterFormular
"ENTERPRISE" = Microsoft Office Enterprise 2007
"EPSON PX730 Series" = EPSON PX730 Series Printer Uninstall
"EPSON PX730 Series Netg" = Netzwerkhandbuch EPSON PX730 Series
"EPSON PX730 Series Useg" = Benutzerhandbuch EPSON PX730 Series
"EPSON Scanner" = EPSON Scan
"G-Force" = G-Force
"HijackThis" = HijackThis 2.0.2
"IDNMitigationAPIs" = Microsoft Internationalized Domain Names Mitigation APIs
"ie7" = Windows Internet Explorer 7
"iLivid" = iLivid
"InstallShield_{3C3B2C97-0DAB-482F-9C95-6610827210E3}" = ASUS nVIDIA Driver
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.70.0.1100
"Microsoft .NET Framework 3.5 Language Pack SP1 - deu" = Microsoft .NET Framework 3.5 Language Pack SP1 - DEU
"Microsoft .NET Framework 3.5 SP1" = Microsoft .NET Framework 3.5 SP1
"Mozilla Firefox 19.0.2 (x86 de)" = Mozilla Firefox 19.0.2 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"MSCompPackV1" = Microsoft Compression Client Pack 1.0 for Windows XP
"MSNINST" = MSN
"NLSDownlevelMapping" = Microsoft National Language Support Downlevel APIs
"NVIDIA nView Desktop Manager" = NVIDIA nView Desktop Manager
"PhotoScape" = PhotoScape
"ST6UNST #1" = mqsoftware - DurchSicht® Version 1.9
"StreetPlugin" = Learn2 Player (Uninstall Only)
"SystemRequirementsLab" = System Requirements Lab
"ViewpointMediaPlayer" = Viewpoint Media Player
"Wdf01005" = Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
"Windows Media Format Runtime" = Windows Media Format 11 runtime
"Windows Media Player" = Windows Media Player 11
"Windows XP Service Pack" = Windows XP Service Pack 3
"WinRAR archiver" = WinRAR 4.11 (32-Bit)
"WMFDist11" = Windows Media Format 11 runtime
"wmp11" = Windows Media Player 11
"Wudf01000" = Microsoft User-Mode Driver Framework Feature Pack 1.0
"XPSEPSCLP" = XML Paper Specification Shared Components Language Pack 1.0
"Zylom Games Player Plugin" = Zylom Games Player Plugin
 
========== HKEY_CURRENT_USER Uninstall List ==========
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Spotify" = Spotify
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 25.03.2013 10:23:08 | Computer Name = FIRMA-BECF06D25 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 25.03.2013 10:23:11 | Computer Name = FIRMA-BECF06D25 | Source = LoadPerf | ID = 3006
Description = Die Zeichenfolgen der Leistungsindikatoren der Sprachkennung 007 können
 nicht gelesen werden.  Der zurückgegebene Win32-Status ist das erste DWORD im Datenbereich.
 
Error - 25.03.2013 12:54:26 | Computer Name = FIRMA-BECF06D25 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung mbam.exe, Version 1.70.0.9, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
Error - 25.03.2013 13:25:36 | Computer Name = FIRMA-BECF06D25 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 25.03.2013 13:25:39 | Computer Name = FIRMA-BECF06D25 | Source = LoadPerf | ID = 3006
Description = Die Zeichenfolgen der Leistungsindikatoren der Sprachkennung 007 können
 nicht gelesen werden.  Der zurückgegebene Win32-Status ist das erste DWORD im Datenbereich.
 
Error - 25.03.2013 13:27:13 | Computer Name = FIRMA-BECF06D25 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 25.03.2013 13:27:17 | Computer Name = FIRMA-BECF06D25 | Source = LoadPerf | ID = 3006
Description = Die Zeichenfolgen der Leistungsindikatoren der Sprachkennung 007 können
 nicht gelesen werden.  Der zurückgegebene Win32-Status ist das erste DWORD im Datenbereich.
 
Error - 25.03.2013 18:23:58 | Computer Name = FIRMA-BECF06D25 | Source = LoadPerf | ID = 3011
Description = Fehler beim Herunterladen der Zeichenfolgen der Leistungsindikatoren
 für  Dienst WmiApRpl (WmiApRpl). Der Fehlercode ist das erste DWORD im Datenbereich.
 
Error - 25.03.2013 18:24:01 | Computer Name = FIRMA-BECF06D25 | Source = LoadPerf | ID = 3006
Description = Die Zeichenfolgen der Leistungsindikatoren der Sprachkennung 007 können
 nicht gelesen werden.  Der zurückgegebene Win32-Status ist das erste DWORD im Datenbereich.
 
Error - 25.03.2013 19:40:32 | Computer Name = FIRMA-BECF06D25 | Source = Application Hang | ID = 1002
Description = Stillstehende Anwendung mbam.exe, Version 1.70.0.9, Stillstandmodul
 hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
[ System Events ]
Error - 03.03.2013 08:40:00 | Computer Name = FIRMA-BECF06D25 | Source = DCOM | ID = 10010
Description = Der Server "{4EB61BAC-A3B6-4760-9581-655041EF4D69}" konnte innerhalb
 des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.
 
Error - 24.03.2013 14:15:39 | Computer Name = FIRMA-BECF06D25 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 24.03.2013 14:51:23 | Computer Name = FIRMA-BECF06D25 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 24.03.2013 19:07:31 | Computer Name = FIRMA-BECF06D25 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 25.03.2013 10:20:31 | Computer Name = FIRMA-BECF06D25 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 25.03.2013 13:21:29 | Computer Name = FIRMA-BECF06D25 | Source = sr | ID = 1
Description = Beim Verarbeiten der Datei "" auf Volume "HarddiskVolume1" ist im 
Wiederherstellungsfilter der unerwartete Fehler "0xC0000001" aufgetreten. Die Volumeüberwachung
 wurde angehalten.
 
Error - 25.03.2013 13:22:56 | Computer Name = FIRMA-BECF06D25 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
Error - 25.03.2013 18:21:22 | Computer Name = FIRMA-BECF06D25 | Source = Service Control Manager | ID = 7023
Description = Der Dienst "Computerbrowser" wurde mit folgendem Fehler beendet:   %%1060
 
 
< End of report >

Gmer
im Anhang, da Datei recht groß.

Würde gerne wissen, ob die Trojaner jetzt tatsächlich entfernt sind??

Vielen Dank schon mal im Voraus, dass Ihr Euch das antut!

Gruß Blutmond

t'john · 26.03.2013, 04:42

Downloade dir bitte

Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

Starte bitte die mbar.exe.
Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
Klicke auf den CleanUp Button und erlaube den Neustart.
Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut.
Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers

danach:

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Blutmond · 26.03.2013, 07:00

Hallo t'john,

erstmal Danke für Deine schnelle Antwort mitten in der Nacht.

Mbar hat im ersten Scan tatsächlich noch 13 Objekte gefunden.
Hier die Logfiles:

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.26.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
kerstin :: FIRMA-BECF06D25 [administrator]

26.03.2013 05:45:25
mbar-log-2013-03-26 (05-45-25).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25763
Time elapsed: 9 minute(s), 36 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKCU\SOFTWARE\CLASSES\CLSID\{fbeb8a05-beee-4442-804e-409d6c4515e9} (Hijack.Trojan.Siredef.C) -> Delete on reboot.

Registry Values Detected: 1
HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\SHELLSERVICEOBJECTDELAYLOAD|CDBurn (Hijack.Trojan.Siredef.C) -> Data: {fbeb8a05-beee-4442-804e-409d6c4515e9} -> Delete on reboot.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 6
c:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135\U (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-1957994488-1417001333-682003330-1004\$c4dccb00ba74882ba8fa7c475bb6b135\U (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135\L (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-1957994488-1417001333-682003330-1004\$c4dccb00ba74882ba8fa7c475bb6b135\L (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135 (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-1957994488-1417001333-682003330-1004\$c4dccb00ba74882ba8fa7c475bb6b135 (Trojan.Siredef.C) -> Delete on reboot.

Files Detected: 5
c:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135\@ (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-21-1957994488-1417001333-682003330-1004\$c4dccb00ba74882ba8fa7c475bb6b135\@ (Trojan.Siredef.C) -> Delete on reboot.
c:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135\U\00000001.@ (Trojan.0Access) -> Delete on reboot.
c:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135\U\80000000.@ (Trojan.0Access) -> Delete on reboot.
c:\RECYCLER\S-1-5-18\$c4dccb00ba74882ba8fa7c475bb6b135\U\800000cb.@ (Trojan.0Access) -> Delete on reboot.

(end)

Code:

ATTFilter

Malwarebytes Anti-Rootkit BETA 1.01.0.1021
www.malwarebytes.org

Database version: v2013.03.26.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
kerstin :: FIRMA-BECF06D25 [administrator]

26.03.2013 05:56:30
mbar-log-2013-03-26 (05-56-30).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled: 
Objects scanned: 25713
Time elapsed: 6 minute(s), 48 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

und der Logfile von AdwCleaner:

Code:

ATTFilter

# AdwCleaner v2.115 - Datei am 26/03/2013 um 06:00:32 erstellt
# Aktualisiert am 17/03/2013 von Xplode
# Betriebssystem : Microsoft Windows XP Service Pack 3 (32 bits)
# Benutzer : kerstin - FIRMA-BECF06D25
# Bootmodus : Normal
# Ausgeführt unter : C:\Dokumente und Einstellungen\kerstin\Desktop\adwcleaner.exe
# Option [Löschen]


**** [Dienste] ****


***** [Dateien / Ordner] *****

Datei Gelöscht : C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\searchplugins\11-suche.xml
Ordner Gelöscht : C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Viewpoint
Ordner Gelöscht : C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\dvdvideosoftiehelpers
Ordner Gelöscht : C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\iWin
Ordner Gelöscht : C:\Dokumente und Einstellungen\kerstin\Lokale Einstellungen\Anwendungsdaten\Ilivid Player
Ordner Gelöscht : C:\Dokumente und Einstellungen\kerstin\Lokale Einstellungen\Anwendungsdaten\PackageAware
Ordner Gelöscht : C:\Programme\Free Offers from Freeze.com
Ordner Gelöscht : C:\Programme\Ilivid
Ordner Gelöscht : C:\Programme\Viewpoint

***** [Registrierungsdatenbank] *****

Schlüssel Gelöscht : HKCU\Software\ilivid
Schlüssel Gelöscht : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}
Schlüssel Gelöscht : HKCU\Software\Softonic
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Classes\ilivid
Schlüssel Gelöscht : HKLM\Software\Freeze.com
Schlüssel Gelöscht : HKLM\Software\ilivid
Schlüssel Gelöscht : HKLM\Software\MetaStream
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ilivid
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ilivid
Schlüssel Gelöscht : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Schlüssel Gelöscht : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
Schlüssel Gelöscht : HKLM\Software\Viewpoint

***** [Internet Browser] *****

-\\ Internet Explorer v7.0.6000.17023

[OK] Die Registrierungsdatenbank ist sauber.

-\\ Mozilla Firefox v19.0.2 (de)

Datei : C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\prefs.js

C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\user.js ... Gelöscht !

Gelöscht : user_pref("extensions.vshare@toolbar.update.enabled", false);
Gelöscht : user_pref("vshare.install.date", "1287878400000");
Gelöscht : user_pref("vshare.install.finished", "1.0.0");
Gelöscht : user_pref("vshare.install.guid", "{7d8b8e9e-f8aa-437c-a6a8-09e9dc3d7113}");
Gelöscht : user_pref("vshare.install.isDisabled", true);
Gelöscht : user_pref("vshare.install.laststatreq", "1295568000000");
Gelöscht : user_pref("vshare.install.newtab", false);
Gelöscht : user_pref("vshare.install.overlayVersion", 1);

*************************

AdwCleaner[S1].txt - [3869 octets] - [26/03/2013 06:00:32]

########## EOF - C:\AdwCleaner[S1].txt - [3929 octets] ##########

Gruß Blutmond

t'john · 26.03.2013, 15:19

Sehr gut!

Downloade dir bitte

aswMBR.exe und speichere die Datei auf deinem Desktop.

Starte die aswMBR.exe - (aswMBR.exe Anleitung)
Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten".
Das Tool wird dich fragen, ob Du mit der aktuellen Virendefinition von AVAST! dein System scannen willst. Beantworte diese Frage bitte mit Ja. (Sollte deine Firewall fragen, bitte den Zugriff auf das Internet zulassen )
Der Download der Definitionen kann je nach Verbindung eine Weile dauern.
Klicke auf Scan.
Warte bitte bis Scan finished successfully im DOS-Fenster steht.
Drücke auf Save Log und speichere diese auf dem Desktop.

Poste mir die aswMBR.txt in deiner nächsten Antwort.

Wichtig: Drücke keinesfalls einen der Fix Buttons ohne Anweisung

Hinweis: Sollte der Scan Button ausgeblendet sein, schließe das Tool und starte es erneut. Sollte der Scan abbrechen und das Programm abstürzen, dann teile mir das mit und wähle unter AV Scan die Einstellung (none).

danach:

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

danach:

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Blutmond · 26.03.2013, 23:50

N'abend

Konnte den Eset Online Scanner nicht downloaden bzw. komme erst gar nicht auf die Seite. Erhalte nur immer Seitenladefehler...

Habe die beiden anderen Tools aber scannen lassen, hoffe das hat trotzdem Sinn gemacht?
Hier die Logfiles:

Code:

ATTFilter

aswMBR version 0.9.9.1771 Copyright(c) 2011 AVAST Software
Run date: 2013-03-26 23:06:03
-----------------------------
23:06:03.250    OS Version: Windows 5.1.2600 Service Pack 3
23:06:03.250    Number of processors: 2 586 0x604
23:06:03.250    ComputerName: FIRMA-BECF06D25  UserName: kerstin
23:06:03.703    Initialize success
23:11:04.640    AVAST engine defs: 13032600
23:12:53.140    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
23:12:53.140    Disk 0 Vendor: SAMSUNG_SP2014N VC100-41 Size: 190782MB BusType: 3
23:12:53.218    Disk 0 MBR read successfully
23:12:53.218    Disk 0 MBR scan
23:12:53.250    Disk 0 Windows XP default MBR code
23:12:53.250    Disk 0 Partition 1 80 (A) 07    HPFS/NTFS NTFS        20002 MB offset 63
23:12:53.250    Disk 0 Partition - 00     0F Extended LBA            170769 MB offset 40965750
23:12:53.265    Disk 0 Partition 2 00     07    HPFS/NTFS NTFS        47002 MB offset 40965813
23:12:53.265    Disk 0 Partition - 00     05     Extended             60000 MB offset 137227230
23:12:53.281    Disk 0 Partition 3 00     07    HPFS/NTFS NTFS        60000 MB offset 137227293
23:12:53.281    Disk 0 Partition - 00     05     Extended             63765 MB offset 356369895
23:12:53.312    Disk 0 Partition 4 00     07    HPFS/NTFS NTFS        63765 MB offset 260108478
23:12:53.312    Disk 0 scanning sectors +390700800
23:12:53.375    Disk 0 scanning C:\WINDOWS\system32\drivers
23:13:02.328    Service scanning
23:13:04.875    Service GMSIPCI K:\INSTALL\GMSIPCI.SYS **LOCKED** 21
23:13:06.718    Service MSICPL K:\install4\MSICPL.sys **LOCKED** 21
23:13:07.468    Service NTACCESS K:\NTACCESS.sys **LOCKED** 21
23:13:10.328    Service SetupNTGLM7X K:\NTGLM7X.sys **LOCKED** 21
23:13:13.078    Modules scanning
23:13:17.546    Disk 0 trace - called modules:
23:13:17.562    ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys aliide.sys PCIIDEX.SYS 
23:13:17.562    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86f75ab8]
23:13:17.562    3 CLASSPNP.SYS[f76affd7] -> nt!IofCallDriver -> \Device\00000060[0x86f5df18]
23:13:17.562    5 ACPI.sys[f7625620] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP0T0L0-3[0x86f79940]
23:13:17.750    AVAST engine scan C:\WINDOWS
23:13:20.359    AVAST engine scan C:\WINDOWS\system32
23:15:20.921    AVAST engine scan C:\WINDOWS\system32\drivers
23:15:32.906    AVAST engine scan C:\Dokumente und Einstellungen\kerstin
23:15:59.046    File: C:\Dokumente und Einstellungen\kerstin\Anwendungsdaten\Xohuil\waosq.exe  **INFECTED** Win32:Zbot-QSE [Trj]
23:18:14.359    AVAST engine scan C:\Dokumente und Einstellungen\All Users
23:21:25.578    Scan finished successfully
23:22:03.218    Disk 0 MBR has been saved successfully to "C:\Dokumente und Einstellungen\kerstin\Desktop\MBR.dat"
23:22:03.218    The log file has been saved successfully to "C:\Dokumente und Einstellungen\kerstin\Desktop\aswMBR.txt"

Code:

ATTFilter

 Results of screen317's Security Check version 0.99.59  
 Windows XP Service Pack 3 x86   
 Internet Explorer 7 Out of date! 
``````````````Antivirus/Firewall Check:`````````````` 
 Windows Security Center service is not running! This report may not be accurate! 
 Avira Free Antivirus    
 Avira successfully updated! 
`````````Anti-malware/Other Utilities Check:````````` 
 Out of date HijackThis  installed! 
 Malwarebytes Anti-Malware Version 1.70.0.1100  
 HijackThis 2.0.2    
 CCleaner     
 Java 7 Update 17  
 Java version out of Date! 
 Adobe Flash Player 	11.6.602.180  
 Adobe Reader 10.1.6 Adobe Reader out of Date!  
 Mozilla Firefox (19.0.2) 
````````Process Check: objlist.exe by Laurent````````  
 Avira Antivir avgnt.exe 
 Avira Antivir avguard.exe 
`````````````````System Health check````````````````` 
 Total Fragmentation on Drive C::  
````````````````````End of Log``````````````````````

t'john · 27.03.2013, 12:40

OK:

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Combofix wird überprüfen, ob die Microsoft Windows Wiederherstellungskonsole installiert ist.
Ist diese nicht installiert, erlaube Combofix diese herunter zu laden und zu installieren. Folge dazu einfach den Anweisungen und aktzeptiere die Endbenutzer-Lizenz.
Bei heutiger Malware ist dies sehr empfehlenswert, da diese uns eine Möglichkeit bietet, dein System zu reparieren, falls etwas schief geht.
Bestätige die Information, dass die Wiederherstellungskonsole installiert wurde mit Ja.
Hinweis: Ist diese bereits installiert, wird Combofix mit der Malwareentfernung fortfahren.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es eine Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Blutmond · 28.03.2013, 13:19

Hallo t'john,

komme an dieser Stelle einfach nicht weiter.
Habe über den Tray Avira Echtzeitscanner deaktiviert. Combofix sagt mir aber jedesmal, dass Avira Real Timer Scanner aktiv ist und ich ihn deaktivieren soll bevor ich auf ok klicke.
Da ich in der Avira Konfiguration nichts weiter zum deaktivieren gefunden habe, hab ich über die Systemstarteinstellungen im Systemstart das Häckchen bei Avira entfernt und in den Diensten den Avira Planer und Echtzeitscanner deaktiviert.
Nach dem Neustart kamen auch die üblichen Sicherheitswarnungen und das Avira Trayicon fehlt. Habe Combofix erneeut gestartet und wieder die Meldung erhalten, das Avira deaktiviert werden soll. Seltsamerweise ist im Sicherheitscenter Virenschutz aktiv, finde aber nichts wo ich deaktivieren kann.
Hast Du einen Tipp für mich oder hilft nur die Deinstallation von Avira?

Gruß Blutmond

Habe Avira deinstalliert und ComboFix ausgeführt. ComboFix hat die Microsoft Wiederherstellungskonsole installiert und der Scan lief dann auch ohne weitere Probs.
Hier das Logfile:

Code:

ATTFilter

ComboFix 13-03-27.01 - kerstin 28.03.2013  16:30:49.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1023.712 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\kerstin\Desktop\ComboFix.exe
.
.
((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\dokumente und einstellungen\kerstin\4.0
c:\dokumente und einstellungen\kerstin\Anwendungsdaten\Xohuil
c:\dokumente und einstellungen\kerstin\Anwendungsdaten\Xohuil\waosq.exe
c:\windows\system32\SET51.tmp
c:\windows\system32\SET56.tmp
c:\windows\system32\SETA3.tmp
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-02-28 bis 2013-03-28  ))))))))))))))))))))))))))))))
.
.
2013-03-25 16:50 . 2013-03-25 16:50	--------	d-----w-	c:\dokumente und einstellungen\kerstin\Anwendungsdaten\Malwarebytes
2013-03-25 16:46 . 2013-03-25 16:46	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2013-03-25 16:46 . 2012-12-14 15:49	21104	----a-w-	c:\windows\system32\drivers\mbam.sys
2013-03-24 14:56 . 2013-03-28 10:43	--------	d-----w-	c:\dokumente und einstellungen\kerstin\Anwendungsdaten\Mouhyb
2013-03-24 14:56 . 2013-03-24 14:56	--------	d-----w-	c:\dokumente und einstellungen\kerstin\Anwendungsdaten\Ipuho
2013-03-08 18:20 . 2013-03-08 18:20	143872	----a-w-	c:\windows\system32\javacpl.cpl
2013-03-08 18:20 . 2013-03-08 18:20	94112	----a-w-	c:\windows\system32\WindowsAccessBridge.dll
2013-03-03 12:41 . 2001-08-18 03:22	12288	----a-w-	c:\windows\system32\drivers\mouhid.sys
2013-03-03 12:41 . 2001-08-18 03:22	12288	----a-w-	c:\windows\system32\dllcache\mouhid.sys
2013-03-03 12:41 . 2008-04-14 03:22	21504	----a-w-	c:\windows\system32\hidserv.dll
2013-03-03 12:41 . 2008-04-14 03:22	21504	----a-w-	c:\windows\system32\dllcache\hidserv.dll
2013-03-03 12:41 . 2008-04-14 02:58	14720	----a-w-	c:\windows\system32\drivers\kbdhid.sys
2013-03-03 12:41 . 2008-04-14 02:58	14720	----a-w-	c:\windows\system32\dllcache\kbdhid.sys
2013-03-03 12:41 . 2008-04-13 19:45	10368	----a-w-	c:\windows\system32\drivers\hidusb.sys
2013-03-03 12:41 . 2008-04-13 19:45	10368	----a-w-	c:\windows\system32\dllcache\hidusb.sys
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-28 15:28 . 2010-02-26 14:40	4710	----a-w-	c:\windows\system32\PerfStringBackup.TMP
2013-03-13 19:56 . 2012-04-17 14:19	693976	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2013-03-13 19:56 . 2011-05-14 10:02	73432	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2013-03-08 18:20 . 2012-08-23 23:08	861088	----a-w-	c:\windows\system32\npDeployJava1.dll
2013-03-08 18:20 . 2012-04-03 14:10	782240	----a-w-	c:\windows\system32\deployJava1.dll
2013-02-08 22:34 . 2013-02-08 22:34	0	----a-w-	c:\programme\GUM6F.tmp
2010-04-07 22:35 . 2010-04-07 22:35	4386808	-c--a-w-	c:\programme\Shockwave_Installer_Slim.exe
2010-03-11 20:28 . 2010-03-11 20:28	299864	-c--a-w-	c:\programme\dxwebsetup.exe
2010-03-11 20:16 . 2010-03-11 20:16	35113704	-c--a-w-	c:\programme\directx_9c_redist.exe
2004-07-09 03:08 . 2004-07-09 03:08	472576	-c--a-w-	c:\programme\dxsetup.exe
2004-07-09 03:08 . 2004-07-09 03:08	2242560	-c--a-w-	c:\programme\dsetup32.dll
2004-07-09 02:03 . 2004-07-09 02:03	62976	-c--a-w-	c:\programme\DSETUP.dll
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spotify Web Helper"="c:\dokumente und einstellungen\kerstin\Anwendungsdaten\Spotify\Data\SpotifyWebHelper.exe" [2013-02-08 1199576]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-10-08 16744256]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2012-07-03 252848]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^kerstin^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=c:\dokumente und einstellungen\kerstin\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=c:\windows\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2012-12-03 07:35	946352	----a-w-	c:\programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EEventManager]
2010-10-12 11:56	979328	----a-w-	c:\programme\EPSON Software\Event Manager\EEventManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON PX730 Series]
2011-01-21 07:01	212480	----a-w-	c:\windows\system32\spool\drivers\w32x86\3\E_FATIHQE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2010-03-18 16:31	136176	-c--atw-	c:\dokumente und einstellungen\michael\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
2008-10-25 09:44	31072	-c--a-w-	c:\programme\Microsoft Office\Office12\GrooveMonitor.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LexwareInfoService]
2010-09-15 08:11	339312	-c--a-w-	c:\programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
2008-04-14 02:22	1695232	----a-w-	c:\programme\Messenger\msmsgs.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2011-10-08 04:50	16744256	----a-w-	c:\windows\system32\nvcpl.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2011-10-08 04:50	203072	----a-w-	c:\windows\system32\nvmctray.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
2011-10-08 04:50	1632360	-c--a-w-	c:\programme\NVIDIA Corporation\nView\nwiz.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
2005-09-07 14:35	716800	-c--a-w-	c:\programme\Analog Devices\SoundMAX\SMax4.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
2005-05-20 01:11	925696	-c--a-r-	c:\programme\Analog Devices\Core\smax4pnp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2012-07-03 07:04	252848	----a-w-	c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=2 (0x2)
"AntiVirSchedulerService"=2 (0x2)
.
R2 ABBYY.Licensing.FineReader.Sprint.9.0;ABBYY FineReader 9.0 Sprint Licensing Service;c:\programme\Gemeinsame Dateien\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe [14.05.2009 16:07 759048]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [26.02.2010 14:39 28672]
S3 HSPADataCardusbmdm;HSPADataCard Proprietary USB Driver;c:\windows\system32\DRIVERS\HSPADataCardusbmdm.sys --> c:\windows\system32\DRIVERS\HSPADataCardusbmdm.sys [?]
S3 HSPADataCardusbnmea;HSPADataCard NMEA Port;c:\windows\system32\DRIVERS\HSPADataCardusbnmea.sys --> c:\windows\system32\DRIVERS\HSPADataCardusbnmea.sys [?]
S3 HSPADataCardusbser;HSPADataCard Diagnostic Port;c:\windows\system32\DRIVERS\HSPADataCardusbser.sys --> c:\windows\system32\DRIVERS\HSPADataCardusbser.sys [?]
S3 massfilter;Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys --> c:\windows\system32\drivers\massfilter.sys [?]
S3 SetupNTGLM7X;SetupNTGLM7X;\??\k:\ntglm7x.sys --> k:\NTGLM7X.sys [?]
.
Inhalt des "geplante Tasks" Ordners
.
2013-03-28 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-17 19:56]
.
2013-03-28 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-08-22 17:19]
.
2013-03-28 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2012-08-22 17:19]
.
2013-03-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1957994488-1417001333-682003330-1005Core.job
- c:\dokumente und einstellungen\michael\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-03-18 16:31]
.
2013-03-28 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1957994488-1417001333-682003330-1005UA.job
- c:\dokumente und einstellungen\michael\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe [2010-03-18 16:31]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Connection Wizard,ShellNext = hxxp://shell.windows.com/fileassoc/fileassoc.asp?LangID=0407&Ext=pdf
uInternet Settings,ProxyServer = 63.245.25.82:80
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
Trusted Zone: com.tw\asia.msi
Trusted Zone: com.tw\global.msi
Trusted Zone: com.tw\www.msi
TCP: DhcpNameServer = 192.168.178.1
FF - ProfilePath - c:\dokumente und einstellungen\kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\uhryww9j.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - user.js: network.cookie.cookieBehavior - 0
FF - user.js: privacy.clearOnShutdown.cookies - false
FF - user.js: security.warn_viewing_mixed - false
FF - user.js: security.warn_viewing_mixed.show_once - false
FF - user.js: security.warn_submit_insecure - false
FF - user.js: security.warn_submit_insecure.show_once - false
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
HKCU-Run-Hifuahu - c:\dokumente und einstellungen\kerstin\Anwendungsdaten\Xohuil\waosq.exe
HKLM-Run-nwiz - nwiz.exe
MSConfigStartUp-Adobe Reader Speed Launcher - c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
MSConfigStartUp-avgnt - c:\programme\Avira\AntiVir Desktop\avgnt.exe
MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
MSConfigStartUp-ControlCenter2 - c:\programme\Brother\ControlCenter2\brctrcen.exe
MSConfigStartUp-InCD - e:\nero 8\InCD\InCD.exe
MSConfigStartUp-NBKeyScan - e:\nero 8\Nero BackItUp\NBKeyScan.exe
MSConfigStartUp-NeroFilterCheck - c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
MSConfigStartUp-SecurDisc - e:\nero 8\InCD\NBHGui.exe
MSConfigStartUp-SetDefPrt - c:\programme\Brother\Brmfl05a\BrStDvPt.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2013-03-28 16:39
Windows 5.1.2600 Service Pack 3 NTFS
.
Scanne versteckte Prozesse... 
.
Scanne versteckte Autostarteinträge... 
.
Scanne versteckte Dateien... 
.
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
.
**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil32_11_6_602_180_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
Zeit der Fertigstellung: 2013-03-28  16:43:15
ComboFix-quarantined-files.txt  2013-03-28 15:43
.
Vor Suchlauf: 4.444.606.464 Bytes frei
Nach Suchlauf: 5.622.874.112 Bytes frei
.
WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
.
- - End Of File - - FFDFDDBA2E27CE019AE4C1BD12037CCC

Wie gehts jetzt weiter?
Hast Du vllt. noch nen Tipp für ne neue Antivirensoftware? Ansonsten lad ich mir Avira wieder drauf, bin bisher gut damit klar gekommen.

Schonmal Danke im Voraus

Grüße Blutmond

t'john · 29.03.2013, 15:34

Alles Windows Updates einspielen, inkl. Internet Explorer!
http://windowsupdate.microsoft.com

Aktualisiere:

Adobe Reader: Adobe Reader - Download - Filepony (Alternativen: PDF Tools)

Java deaktivieren

Aufgrund derezeitigen Sicherheitsluecke:

http://www.trojaner-board.de/122961-...ktivieren.html

Danach poste mir (kopieren und einfuegen), was du hier angezeigt bekommst: PluginCheck

t'john · 25.05.2013, 18:25

Fehlende Rückmeldung

Gibt es Probleme beim Abarbeiten obiger Anleitung?

Um Kapazitäten für andere Hilfesuchende freizumachen, lösche ich dieses Thema aus meinen Benachrichtigungen.

Solltest Du weitermachen wollen, schreibe mir eine PN oder eröffne ein neues Thema.
http://www.trojaner-board.de/69886-a...-beachten.html

Hinweis: Das Verschwinden der Symptome bedeutet nicht, dass Dein Rechner sauber ist.

TR/ATRAPS.Gen2 und TR/Sirefef.AG.9 - Warnungen im 5-Minutentakt

Log-Analyse und Auswertung: TR/ATRAPS.Gen2 und TR/Sirefef.AG.9 - Warnungen im 5-Minutentakt