Problem: Unerwartete Abstürze nach Virenfund

gast123 · 19.04.2013, 13:30

Hallo,

ich habe ein ganz bödes Problem mit meinem Computer und weiß langsam nicht mehr weiter.

Seit einigen Tagen stürzt mein Compter ständig ab - das heißt sich (unabhängig bestimmter Prozesse/Aktionen) auf, sodass sich nichts mehr machen lässt. Es kann nach dem hochfahren mal länger oder eben kürzer dauern bis dies passiert. Teilweise tut er dies sogar während des Herunterfahrens oder des Neustarts. (Er hängt sich dann entsprechend auf, wartet einen Moment und startet von selbst neu) Mein erster Tipp war ein Virus. Es hat zwar einige Zeit gedauert, doch habe ich es schließlich geschafft Avira drüber laufen zu lassen: er hat mehrere Dateien gefunden, die ich daraufhin direkt gelöscht habe.
Auf Anraten eines Computerspezialisten habe ich auch ein zweites Antivirenprogramm drüber laufen lassen. Nach einer kompletten Systemprüfung haben schließlich beide nichts mehr gefunden.

Ich war bereits bei einem Computerspezialisten und habe den Tipp bekommen, mal das komplette Innenleben auf Defekte zu überprüfen oder meine Programme neu zu installieren. Habe beides getan, aber das Problem bisher nicht beheben können.

Ich hoffe es findet sich hier noch jemand, der mir weiterhelfen kann!

Grüße

aharonov · 19.04.2013, 13:32

Hi,

Zitat:

doch habe ich es schließlich geschafft Avira drüber laufen zu lassen: er hat mehrere Dateien gefunden, die ich daraufhin direkt gelöscht habe.

Poste mir bitte alle Reporte, welche einen Fund dokumentieren.

gast123 · 19.04.2013, 14:15

Dies hier ist Bericht Nr.1 (Avira):

Avira Free Antivirus
Erstellungsdatum der Reportdatei: Dienstag, 16. April 2013 12:49

Es wird nach 4418494 Virenstämmen gesucht.

Das Programm läuft als uneingeschränkte Vollversion.
Online-Dienste stehen zur Verfügung.

Lizenznehmer : Avira Free Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Windowsversion : (Service Pack 1) [6.1.7601]
Boot Modus : Normal gebootet

Versionsinformationen:
BUILD.DAT : 12.1.9.1236 Bytes 11.10.2012 15:29:00
AVSCAN.EXE : 12.3.0.48 468256 Bytes 15.11.2012 01:00:29
AVSCAN.DLL : 12.3.0.15 66256 Bytes 02.05.2012 00:02:50
LUKE.DLL : 12.3.0.15 68304 Bytes 01.05.2012 23:31:47
AVSCPLR.DLL : 12.3.0.14 97032 Bytes 01.05.2012 22:13:36
AVREG.DLL : 12.3.0.17 232200 Bytes 10.07.2012 21:57:59
VBASE000.VDF : 7.11.70.0 66736640 Bytes 04.04.2013 15:53:57
VBASE001.VDF : 7.11.70.1 2048 Bytes 04.04.2013 15:53:57
VBASE002.VDF : 7.11.70.2 2048 Bytes 04.04.2013 15:53:57
VBASE003.VDF : 7.11.70.3 2048 Bytes 04.04.2013 15:53:57
VBASE004.VDF : 7.11.70.4 2048 Bytes 04.04.2013 15:53:57
VBASE005.VDF : 7.11.70.5 2048 Bytes 04.04.2013 15:53:57
VBASE006.VDF : 7.11.70.6 2048 Bytes 04.04.2013 15:53:57
VBASE007.VDF : 7.11.70.7 2048 Bytes 04.04.2013 15:53:57
VBASE008.VDF : 7.11.70.8 2048 Bytes 04.04.2013 15:53:57
VBASE009.VDF : 7.11.70.9 2048 Bytes 04.04.2013 15:53:57
VBASE010.VDF : 7.11.70.10 2048 Bytes 04.04.2013 15:53:57
VBASE011.VDF : 7.11.70.11 2048 Bytes 04.04.2013 15:53:57
VBASE012.VDF : 7.11.70.12 2048 Bytes 04.04.2013 15:53:57
VBASE013.VDF : 7.11.70.13 2048 Bytes 04.04.2013 15:53:57
VBASE014.VDF : 7.11.70.103 136192 Bytes 05.04.2013 14:33:56
VBASE015.VDF : 7.11.70.183 183808 Bytes 06.04.2013 14:33:57
VBASE016.VDF : 7.11.71.9 145920 Bytes 08.04.2013 14:33:57
VBASE017.VDF : 7.11.71.115 169472 Bytes 10.04.2013 14:33:57
VBASE018.VDF : 7.11.71.197 172544 Bytes 11.04.2013 14:33:58
VBASE019.VDF : 7.11.72.17 135168 Bytes 12.04.2013 14:34:00
VBASE020.VDF : 7.11.72.18 2048 Bytes 12.04.2013 14:34:00
VBASE021.VDF : 7.11.72.19 2048 Bytes 12.04.2013 14:34:00
VBASE022.VDF : 7.11.72.20 2048 Bytes 12.04.2013 14:34:00
VBASE023.VDF : 7.11.72.21 2048 Bytes 12.04.2013 14:34:00
VBASE024.VDF : 7.11.72.22 2048 Bytes 12.04.2013 14:34:00
VBASE025.VDF : 7.11.72.23 2048 Bytes 12.04.2013 14:34:00
VBASE026.VDF : 7.11.72.24 2048 Bytes 12.04.2013 14:34:00
VBASE027.VDF : 7.11.72.25 2048 Bytes 12.04.2013 14:34:00
VBASE028.VDF : 7.11.72.26 2048 Bytes 12.04.2013 14:34:00
VBASE029.VDF : 7.11.72.27 2048 Bytes 12.04.2013 14:34:00
VBASE030.VDF : 7.11.72.28 2048 Bytes 12.04.2013 14:34:00
VBASE031.VDF : 7.11.72.100 156672 Bytes 14.04.2013 21:36:23
Engineversion : 8.2.12.26
AEVDF.DLL : 8.1.2.10 102772 Bytes 10.07.2012 21:57:59
AESCRIPT.DLL : 8.1.4.106 483709 Bytes 12.04.2013 14:34:06
AESCN.DLL : 8.1.10.4 131446 Bytes 26.03.2013 22:43:43
AESBX.DLL : 8.2.5.12 606578 Bytes 10.07.2012 21:57:59
AERDL.DLL : 8.2.0.88 643444 Bytes 10.01.2013 19:12:46
AEPACK.DLL : 8.3.2.6 827767 Bytes 02.04.2013 15:53:13
AEOFFICE.DLL : 8.1.2.56 205180 Bytes 08.03.2013 17:14:56
AEHEUR.DLL : 8.1.4.286 5845369 Bytes 12.04.2013 14:34:03
AEHELP.DLL : 8.1.25.2 258423 Bytes 12.10.2012 17:41:04
AEGEN.DLL : 8.1.7.2 442741 Bytes 26.03.2013 22:43:43
AEEXP.DLL : 8.4.0.18 192886 Bytes 12.04.2013 14:34:06
AEEMU.DLL : 8.1.3.2 393587 Bytes 10.07.2012 21:57:57
AECORE.DLL : 8.1.31.2 201080 Bytes 22.02.2013 10:39:35
AEBB.DLL : 8.1.1.4 53619 Bytes 05.11.2012 20:23:29
AVWINLL.DLL : 12.3.0.15 27344 Bytes 01.05.2012 22:59:21
AVPREF.DLL : 12.3.0.32 50720 Bytes 15.11.2012 01:00:29
AVREP.DLL : 12.3.0.15 179208 Bytes 01.05.2012 22:13:35
AVARKT.DLL : 12.3.0.33 209696 Bytes 15.11.2012 01:00:29
AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 01.05.2012 22:28:49
SQLITE3.DLL : 3.7.0.1 398288 Bytes 16.04.2012 21:11:02
AVSMTP.DLL : 12.3.0.32 63480 Bytes 17.08.2012 15:47:34
NETNT.DLL : 12.3.0.15 17104 Bytes 01.05.2012 23:33:29
RCIMAGE.DLL : 12.3.0.31 4444408 Bytes 17.08.2012 15:47:26
RCTEXT.DLL : 12.3.0.32 98848 Bytes 15.11.2012 01:00:28

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Lokale Festplatten
Konfigurationsdatei...................: C:\program files\avira\antivir desktop\alldiscs.avp
Protokollierung.......................: standard
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, E:, I:, J:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: aus
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Intelligente Dateiauswahl
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: erweitert

Beginn des Suchlaufs: Dienstag, 16. April 2013 12:49

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'I:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'updrgui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ipmGui.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIGGE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Explorer.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Dwm.exe' - '1' Modul(e) wurden durchsucht

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '1413' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\Users\----\AppData\Local\Temp\~!#CD41.tmp
[FUND] Ist das Trojanische Pferd TR/Ransom.Foreign.awuq
C:\Users\----\AppData\Local\Temp\~!#D54D.tmp
[FUND] Ist das Trojanische Pferd TR/Buzus.HL.64
C:\Users\----\AppData\Roaming\skype.dat
[FUND] Ist das Trojanische Pferd TR/Ransom.Foreign.awuq
Beginne mit der Suche in 'E:\' <RECOVER>
Beginne mit der Suche in 'I:\' <BOOT>
Beginne mit der Suche in 'J:\' <System-reserviert>

Beginne mit der Desinfektion:
C:\Users\----\AppData\Roaming\skype.dat
[FUND] Ist das Trojanische Pferd TR/Ransom.Foreign.awuq
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '548f954f.qua' verschoben!
C:\Users\----\AppData\Local\Temp\~!#D54D.tmp
[FUND] Ist das Trojanische Pferd TR/Buzus.HL.64
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c6eba57.qua' verschoben!
C:\Users\----\AppData\Local\Temp\~!#CD41.tmp
[FUND] Ist das Trojanische Pferd TR/Ransom.Foreign.awuq
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1e31e0bf.qua' verschoben!

Ende des Suchlaufs: Dienstag, 16. April 2013 13:25
Benötigte Zeit: 34:27 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

19781 Verzeichnisse wurden überprüft
393710 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
393707 Dateien ohne Befall
3479 Archive wurden durchsucht
0 Warnungen
3 Hinweise

Dies ist Nr. 2 ( Malwarebytes Anti-Malware ):

Malwarebytes Anti-Malware (Test) 1.75.0.1300
Malwarebytes : Free Anti-Malware download

Datenbank Version: v2013.04.16.09

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421

Schutz: Aktiviert

16.04.2013 21:37:57
mbam-log-2013-04-16 (21-37-57).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|I:\|J:\|)
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 311384
Laufzeit: 44 Minute(n), 33 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 2
C:\$Recycle.Bin\S-1-5-21-3950097478-995871601-3625859196-1000\$be6ac247def913acb2488bfb7024c22d\n (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.
C:\$Recycle.Bin\S-1-5-21-3950097478-995871601-3625859196-1000\$be6ac247def913acb2488bfb7024c22d\U\00000001.@ (Trojan.0Access) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

aharonov · 19.04.2013, 14:19

Ah ja, ZeroAccess..

Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

Starte das Tool mit Doppelklick.
Klicke nun auf den Disable Button.
Bestätige diese Sicherheitsabfrage mit Ja.
Wenn der Scan beendet wurde (Finished), klicke auf OK.
Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 2

Lade dir Gmer herunter (auf den Button Download EXE drücken) und speichere das Programm auf den Desktop.

Deaktiviere alle Antivirenprogramme und Malware/Spyware Scanner.
Trenne alle bestehenden Verbindungen zu einem Netzwerk/Internet (WLAN nicht vergessen).
Schliesse bitte alle anderen Programme.
Starte gmer.exe (die Datei hat einen zufälligen Dateinamen).
Vista und Win7 User mit Rechtsklick "als Administrator starten".
Sollte sich ein Fenster mit folgender Warnung öffnen
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?
dann klicke unbedingt auf No.
Entferne rechts den Haken bei:
- IAT/EAT
- Show all
Setze rechts den Haken bei deiner Systempartition (normalerweise C:\).
Starte den Scan mit einem Klick auf Scan.
Mache gar nichts am Computer, während der Scan läuft!
Wenn der Scan fertig ist, klicke auf Save und speichere das Logfile unter Gmer.txt auf deinen Desktop.
Schliesse dann GMER und führe unmittelbar einen Neustart des Computers durch.
Füge bitte den Inhalt des Logfiles hier in deine Thread ein.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor du ins Netz gehst.

Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

Doppelklick auf die OTL.exe.
Unter Extra Registry, wähle bitte Use SafeList.
Setze den Haken bei Scan all Users.
Klicke nun auf Run Scan.
Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von Gmer
Logs von OTL

gast123 · 19.04.2013, 15:52

So,

der Neustart hat leider nicht funktioniert (und hinzugekommen ist, dass ich innerhalb bestimmter - aber nicht aller - Programme nicht ale Funktionen meiner Tastatur nutzen kann).

Hier die Ergebnisse:
Defogger:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 15:29 on 19/04/2013

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...

-=E.O.F=-

Gmer:

GMER Logfile:

Code:

ATTFilter

GMER 2.1.19163 - hxxp://www.gmer.net
Rootkit scan 2013-04-19 16:15:15
Windows 6.1.7601 Service Pack 1 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-4 ST500DM002-1BC142 rev.JC4B 465,76GB
Running: gmer_2.1.19163.exe; Driver: C:\Users\----\AppData\Local\Temp\uxdyikow.sys


---- System - GMER 2.1 ----

SSDT 91389306 ZwCreateSection
SSDT 91389310 ZwRequestWaitReplyPort
SSDT 9138930B ZwSetContextThread
SSDT 91389315 ZwSetSecurityObject
SSDT 9138931A ZwSystemDebugControl
SSDT 913892A7 ZwTerminateProcess

---- Kernel code sections - GMER 2.1 ----

.text ntkrnlpa.exe!ZwRollbackEnlistment + 140D 8328BA09 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 832C51F2 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text ntkrnlpa.exe!KeRemoveQueueEx + 11F7 832CC34C 4 Bytes [06, 93, 38, 91]
.text ntkrnlpa.exe!KeRemoveQueueEx + 1553 832CC6A8 4 Bytes [10, 93, 38, 91]
.text ntkrnlpa.exe!KeRemoveQueueEx + 1597 832CC6EC 4 Bytes [0B, 93, 38, 91]
.text ntkrnlpa.exe!KeRemoveQueueEx + 1613 832CC768 4 Bytes [15, 93, 38, 91]
.text ntkrnlpa.exe!KeRemoveQueueEx + 1667 832CC7BC 4 Bytes [1A, 93, 38, 91]
.text ...

---- Registry - GMER 2.1 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{4C44D06C-A5CA-40AE-9113-DE0892FC5411}@LeaseObtainedTime 1366378675
Reg HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{4C44D06C-A5CA-40AE-9113-DE0892FC5411}@T1 1366378825
Reg HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{4C44D06C-A5CA-40AE-9113-DE0892FC5411}@T2 1366378937
Reg HKLM\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\{4C44D06C-A5CA-40AE-9113-DE0892FC5411}@LeaseTerminatesTime 1366378975

---- EOF - GMER 2.1 ----

--- --- ---

OTL: - OTLOTL Logfile:

Code:

ATTFilter

OTL logfile created on: 19.04.2013 16:26:06 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\----\Desktop
Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 2,15 Gb Available Physical Memory | 71,69% Memory free
6,00 Gb Paging File | 5,10 Gb Available in Paging File | 85,02% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 465,66 Gb Total Space | 410,43 Gb Free Space | 88,14% Space Free | Partition Type: NTFS
Drive J: | 100,00 Mb Total Space | 71,79 Mb Free Space | 71,79% Space Free | Partition Type: NTFS

Computer Name: ---- | User Name:-----| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2013.04.19 16:25:00 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\----\Desktop\OTL.exe
PRC - [2013.04.17 23:20:27 | 000,879,456 | ---- | M] (Opera Software) -- C:\Programme\Opera\opera.exe
PRC - [2013.04.04 14:50:32 | 000,418,376 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2013.02.26 00:22:34 | 001,260,320 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
PRC - [2013.01.18 16:21:02 | 000,873,248 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\Display\nvxdsync.exe
PRC - [2013.01.18 16:21:00 | 001,821,984 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\Display\nvtray.exe
PRC - [2013.01.18 08:14:20 | 000,383,264 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
PRC - [2012.11.30 04:55:25 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
PRC - [2012.11.23 04:48:41 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2012.08.17 17:47:34 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.04.24 02:11:55 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2010.11.20 14:17:56 | 001,121,792 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2009.09.14 09:00:00 | 000,200,704 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\Windows\System32\spool\drivers\w32x86\3\E_FATIGGE.EXE


========== Modules (No Company Name) ==========

MOD - [2012.11.18 13:47:04 | 014,586,808 | ---- | M] () -- C:\Windows\System32\Macromed\Flash\NPSWF32_11_5_502_110.dll
MOD - [2012.05.30 20:06:48 | 000,087,912 | ---- | M] () -- C:\Programme\Common Files\Apple\Apple Application Support\zlib1.dll
MOD - [2012.05.30 20:06:30 | 001,242,512 | ---- | M] () -- C:\Programme\Common Files\Apple\Apple Application Support\libxml2.dll


========== Services (SafeList) ==========

SRV - [2013.04.04 18:17:02 | 000,116,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.04.04 14:50:32 | 000,701,512 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2013.04.04 14:50:32 | 000,418,376 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2013.02.26 00:22:34 | 001,260,320 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2013.01.18 08:14:20 | 000,383,264 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2012.07.13 13:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.20 14:17:56 | 001,121,792 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2010.01.09 21:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 21:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 03:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc)
DRV - [2013.04.04 14:50:32 | 000,022,856 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2013.02.26 00:22:06 | 008,939,296 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2012.04.27 10:20:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.04.25 00:32:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.04.16 21:17:40 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.12.15 19:29:42 | 000,026,624 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\tap0901.sys -- (tap0901)
DRV - [2010.11.20 14:30:15 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmbus.sys -- (vmbus)
DRV - [2010.11.20 14:30:15 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010.11.20 14:30:15 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\storvsc.sys -- (storvsc)
DRV - [2010.11.20 12:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010.11.20 12:21:14 | 000,015,872 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\rdpvideominiport.sys -- (RdpVideoMiniport)
DRV - [2010.11.20 11:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010.11.20 11:14:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010.11.20 11:14:41 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vms3cap.sys -- (s3cap)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.01.29 01:03:58 | 000,030,576 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nx6000.sys -- (MSHUSBVideo)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.babylon.com/?affID=111304&tt=3512_4&babsrc=HP_ss&mntrId=4af902bd000000000000000000000000
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 48 6A 42 75 F9 82 CD 01 [binary data]
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.babylon.com/?q={searchTerms}&affID=111304&tt=3512_4&babsrc=SP_ss&mntrId=4af902bd000000000000000000000000
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



========== FireFox ==========

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.5: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKCU\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.5\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2013.04.04 18:16:58 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.5\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 17.0.5\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2013.04.04 18:16:58 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 17.0.5\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins

[2012.07.11 00:22:17 | 000,000,000 | ---D | M] (No name found) -- C:\Users\----\AppData\Roaming\mozilla\Extensions
[2012.08.30 09:43:13 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKU\S-1-5-21-3950097478-995871601-3625859196-1000..\Run: [EPSON SX125 Series] C:\Windows\System32\spool\DRIVERS\W32X86\3\E_FATIGGE.EXE (SEIKO EPSON CORPORATION)
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] C:\Windows\System32\SPReview\SPReview.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] C:\Windows\System32\SPReview\SPReview.exe (Microsoft Corporation)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-3950097478-995871601-3625859196-1001..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O8 - Extra context menu item: An OneNote s&enden - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.10 192.168.1.130
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{33253C4E-3432-4985-8A45-5A59DEFB02CD}: NameServer = 192.168.1.10 192.168.1.130
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4C44D06C-A5CA-40AE-9113-DE0892FC5411}: DhcpNameServer = 192.168.1.10 192.168.1.130
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

========== Files/Folders - Created Within 30 Days ==========

[2013.04.19 16:25:00 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\-----\Desktop\OTL.exe
[2013.04.17 23:09:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
[2013.04.17 23:08:37 | 000,000,000 | ---D | C] -- C:\Program Files\iTunes
[2013.04.17 23:08:37 | 000,000,000 | ---D | C] -- C:\Program Files\iPod
[2013.04.17 23:08:37 | 000,000,000 | ---D | C] -- C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2013.04.16 21:36:06 | 000,000,000 | ---D | C] -- C:\Users\-----\AppData\Roaming\Malwarebytes
[2013.04.16 21:35:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.04.16 21:35:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.04.16 21:35:32 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2013.04.16 21:35:32 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2013.04.12 22:48:17 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2013.04.12 02:45:02 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2013.04.12 02:45:01 | 000,607,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2013.04.12 02:45:01 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2013.04.12 02:45:01 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2013.04.12 02:45:01 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2013.04.12 02:45:00 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2013.04.12 02:45:00 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2013.04.12 02:44:59 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2013.04.11 16:43:05 | 002,347,008 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2013.04.11 16:43:00 | 003,968,856 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntkrnlpa.exe
[2013.04.11 16:43:00 | 003,913,560 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ntoskrnl.exe
[2013.04.11 16:42:59 | 000,038,912 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\csrsrv.dll
[2013.04.11 16:42:55 | 000,131,584 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\aaclient.dll
[2013.04.11 16:42:55 | 000,036,864 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\tsgqec.dll
[2013.04.04 18:16:58 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Thunderbird
[2013.03.25 18:40:30 | 000,033,280 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\RNDISMP.sys
[2013.03.25 18:39:59 | 000,245,760 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\OxpsConverter.exe
[2013.03.25 18:39:56 | 000,156,672 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ncsi.dll
[2013.03.25 18:39:55 | 000,175,104 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\netcorehc.dll
[2013.03.25 18:39:55 | 000,018,944 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\netevent.dll
[2013.03.25 18:39:34 | 000,049,152 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
[2013.03.25 18:39:31 | 000,193,536 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\dhcpcore6.dll
[2013.03.25 18:39:31 | 000,044,032 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\dhcpcsvc6.dll
[1 C:\Users\Nana xxxx\Desktop\*.tmp files -> C:\Users\-----\Desktop\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2013.04.19 16:25:00 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\-----\Desktop\OTL.exe
[2013.04.19 16:24:55 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.04.19 16:24:55 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.04.19 16:24:55 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.04.19 16:24:55 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.04.19 16:20:43 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.04.19 16:20:37 | 400,639,810 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2013.04.19 16:20:35 | 2415,370,240 | -HS- | M] () -- C:\hiberfil.sys
[2013.04.19 15:32:47 | 000,377,856 | ---- | M] () -- C:\Users\-----\Desktop\gmer_2.1.19163.exe
[2013.04.19 15:29:23 | 000,050,477 | ---- | M] () -- C:\Users\-----\Desktop\Defogger.exe
[2013.04.19 15:27:59 | 000,000,000 | ---- | M] () -- C:\Users\-----\defogger_reenable
[2013.04.19 14:47:28 | 000,014,592 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.04.19 14:47:28 | 000,014,592 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.04.17 23:09:27 | 000,001,753 | ---- | M] () -- C:\Users\Public\Desktop\iTunes.lnk
[2013.04.16 21:35:33 | 000,001,067 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.04.12 11:37:27 | 000,342,816 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.04.04 14:50:32 | 000,022,856 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[1 C:\Users\Nana xxxx\Desktop\*.tmp files -> C:\Users\-----\Desktop\*.tmp -> ]

========== Files Created - No Company Name ==========

[2013.04.19 16:20:37 | 400,639,810 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2013.04.19 15:32:47 | 000,377,856 | ---- | C] () -- C:\Users\----\Desktop\gmer_2.1.19163.exe
[2013.04.19 15:29:23 | 000,050,477 | ---- | C] () -- C:\Users\-----\Desktop\Defogger.exe
[2013.04.19 15:27:59 | 000,000,000 | ---- | C] () -- C:\Users\----\defogger_reenable
[2013.04.17 23:20:28 | 000,001,787 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
[2013.04.17 23:09:27 | 000,001,753 | ---- | C] () -- C:\Users\Public\Desktop\iTunes.lnk
[2013.04.16 21:35:33 | 000,001,067 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.14 03:47:31 | 000,080,896 | ---- | C] () -- C:\Windows\System32\RDVGHelper.exe
[2012.07.14 03:46:48 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe

========== ZeroAccess Check ==========

[2009.07.14 06:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 06:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 14:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 03:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

< End of report >

--- --- ---

- Extra:OTL Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 19.04.2013 16:26:06 - Run 1
OTL by OldTimer - Version 3.2.69.0 Folder = C:\Users\-----\Desktop
Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 2,15 Gb Available Physical Memory | 71,69% Memory free
6,00 Gb Paging File | 5,10 Gb Available in Paging File | 85,02% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 465,66 Gb Total Space | 410,43 Gb Free Space | 88,14% Space Free | Partition Type: NTFS
Drive J: | 100,00 Mb Total Space | 71,79 Mb Free Space | 71,79% Space Free | Partition Type: NTFS

Computer Name:---- | User Name: ----- | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

========== Extra Registry (SafeList) ==========


========== File Associations ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)

========== Shell Spawning ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
htmlfile [edit] -- Reg Error: Key error.
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [AddToPlaylistVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --playlist-enqueue "%1" (VideoLAN)
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [PlayWithVLC] -- "C:\Program Files\VideoLAN\VLC\vlc.exe" --started-from-file --no-playlist-enqueue "%1" (VideoLAN)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)

========== Security Center Settings ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

========== Firewall Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1

========== Authorized Applications List ==========


========== Vista Active Open Ports Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

========== Vista Active Application Exception List ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{095672F0-9C1F-4019-9847-A685E3358518}" = dir=in | app=c:\program files\common files\apple\apple application support\webkit2webprocess.exe |
"{28FD64C4-1928-49ED-8DAC-E3B6E2E5FFBE}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{468CE5B4-70D4-458F-9414-C652004ED17D}" = protocol=17 | dir=in | app=c:\program files\microsoft office\office14\onenote.exe |
"{558CC2F0-D82B-48FC-8DB3-99CBE78F57AA}" = protocol=6 | dir=in | app=c:\program files\microsoft office\office14\onenote.exe |
"{783B2D96-0850-43D1-893D-9C830FEA0E9D}" = dir=in | app=c:\program files\itunes\itunes.exe |
"{85FDB601-EF5C-42E8-9F75-7180BE9A9067}" = protocol=17 | dir=in | app=c:\program files\opera\opera.exe |
"{8C6FE98B-E496-48F4-9994-0F02A43EEA8A}" = dir=in | app=c:\program files\skype\phone\skype.exe |
"{99B2BF21-35C2-425F-921E-736E264021E6}" = protocol=17 | dir=in | app=c:\users\nana xxxx\appdata\roaming\dropbox\bin\dropbox.exe |
"{9F257D59-DA52-4622-815B-479BFEFD5DC1}" = protocol=6 | dir=in | app=c:\program files\opera\opera.exe |
"{AE1AC24C-9717-46C6-81D6-BB1B884D26B2}" = protocol=6 | dir=in | app=c:\program files\opera\pluginwrapper\opera_plugin_wrapper.exe |
"{D039C17E-B500-4462-B5D2-21F00667C3C4}" = protocol=6 | dir=in | app=c:\users\nana xxxx\appdata\roaming\dropbox\bin\dropbox.exe |
"{D3EA7086-6215-4BDE-B07F-52C405252B0B}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe |
"{EFBEEC58-CABE-4F54-8D98-F225E2B6FBDC}" = protocol=17 | dir=in | app=c:\program files\opera\pluginwrapper\opera_plugin_wrapper.exe |
"TCP Query User{05C0AA79-BBF1-4581-A9E8-70FEC0BEC096}C:\program files\java\jre7\bin\javaw.exe" = protocol=6 | dir=in | app=c:\program files\java\jre7\bin\javaw.exe |
"TCP Query User{D0B690E5-1314-484C-9A4A-7B476795CFEC}C:\program files\jdownloader 2\jdownloader 2.exe" = protocol=6 | dir=in | app=c:\program files\jdownloader 2\jdownloader 2.exe |
"UDP Query User{8ECF27E5-E3B2-42EC-AD77-9BBC7F569B16}C:\program files\jdownloader 2\jdownloader 2.exe" = protocol=17 | dir=in | app=c:\program files\jdownloader 2\jdownloader 2.exe |
"UDP Query User{9C913274-BAB5-48D2-8F98-A62EB096A364}C:\program files\java\jre7\bin\javaw.exe" = protocol=17 | dir=in | app=c:\program files\java\jre7\bin\javaw.exe |

========== HKEY_LOCAL_MACHINE Uninstall List ==========

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{0001B4FD-9EA3-4D90-A79E-FD14BA3AB01D}" = PDFCreator
"{268278CF-FB69-4D98-B70E-BFEC1CDCA225}" = iTunes
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"{310C1558-F6B5-4889-98B0-7471966BA7F2}" = Epson Easy Photo Print 2
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{45C56AA7-ED1B-4800-A97F-EDDF3F3520B1}" = Apple Application Support
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{90140000-0015-0407-0000-0000000FF1CE}" = Microsoft Office Access MUI (German) 2010
"{90140000-0015-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0016-0407-0000-0000000FF1CE}" = Microsoft Office Excel MUI (German) 2010
"{90140000-0016-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0018-0407-0000-0000000FF1CE}" = Microsoft Office PowerPoint MUI (German) 2010
"{90140000-0018-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-0019-0407-0000-0000000FF1CE}" = Microsoft Office Publisher MUI (German) 2010
"{90140000-0019-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001A-0407-0000-0000000FF1CE}" = Microsoft Office Outlook MUI (German) 2010
"{90140000-001A-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001B-0407-0000-0000000FF1CE}" = Microsoft Office Word MUI (German) 2010
"{90140000-001B-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0407-0000-0000000FF1CE}" = Microsoft Office Proof (German) 2010
"{90140000-001F-0407-0000-0000000FF1CE}_Office14.SingleImage_{65A2328E-FDFB-4CA3-8582-357EA6825FEA}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0409-0000-0000000FF1CE}" = Microsoft Office Proof (English) 2010
"{90140000-001F-0409-0000-0000000FF1CE}_Office14.SingleImage_{99ACCA38-6DD3-48A8-96AE-A283C9759279}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-040C-0000-0000000FF1CE}" = Microsoft Office Proof (French) 2010
"{90140000-001F-040C-0000-0000000FF1CE}_Office14.SingleImage_{46298F6A-1E7E-4D4A-B5F5-106A4F0E48C6}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-001F-0410-0000-0000000FF1CE}" = Microsoft Office Proof (Italian) 2010
"{90140000-001F-0410-0000-0000000FF1CE}_Office14.SingleImage_{C0743197-FFEE-4C19-BAEB-8F7437DC4C8A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-002C-0407-0000-0000000FF1CE}" = Microsoft Office Proofing (German) 2010
"{90140000-002C-0407-0000-0000000FF1CE}_Office14.SingleImage_{4275FB46-ABDF-4456-876C-17CF64294D9A}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-003D-0000-0000-0000000FF1CE}" = Microsoft Office Single Image 2010
"{90140000-003D-0000-0000-0000000FF1CE}_Office14.SingleImage_{047B0968-E622-4FAA-9B4B-121FA109EDDE}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-006E-0407-0000-0000000FF1CE}" = Microsoft Office Shared MUI (German) 2010
"{90140000-006E-0407-0000-0000000FF1CE}_Office14.SingleImage_{98EDFD9F-EA76-40CC-BCE9-92C69413F65B}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{90140000-00A1-0407-0000-0000000FF1CE}" = Microsoft Office OneNote MUI (German) 2010
"{90140000-00A1-0407-0000-0000000FF1CE}_Office14.SingleImage_{69E54534-4569-4639-89E9-305B60A11601}" = Microsoft Office 2010 Service Pack 1 (SP1)
"{A278382D-4F1B-4D47-9885-8523F7261E8D}_is1" = PDF-Viewer
"{B2D55EB8-32C5-4B43-9006-9E97DECBA178}" = Epson Easy Photo Print Plug-in for PMB(Picture Motion Browser)
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 311.06
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 311.06
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 311.06
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.NVIRUSB" = NVIDIA 3D Vision Controller-Treiber 301.42
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.PhysX" = NVIDIA PhysX-Systemsoftware 9.12.0213
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.11.3
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{B3BC9DB1-0B0A-48B0-B86B-EA77CAA7F800}" = Microsoft Corporation
"{DA909E62-3B45-4BA1-8B58-FCAEBA4BCEC9}" = NVIDIA PhysX
"{E12C6653-1FF0-4686-ADB8-589C13AE761F}" = Citavi
"{E14ADE0E-75F3-4A46-87E5-26692DD626EC}" = Apple Mobile Device Support
"{EE7257A2-39A2-4D2F-9DAC-F9F25B8AE1D8}" = Skype™ 5.10
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Avira AntiVir Desktop" = Avira Free Antivirus
"EPSON Scanner" = EPSON Scan
"EPSON SX125 Series" = Druckerdeinstallation für EPSON SX125 Series
"EPSON SX125 Series Manual" = EPSON SX125 Series Handbuch
"FastStone Capture" = FastStone Capture 5.3
"Malwarebytes' Anti-Malware_is1" = Malwarebytes Anti-Malware Version 1.75.0.1300
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"Mozilla Thunderbird 17.0.5 (x86 de)" = Mozilla Thunderbird 17.0.5 (x86 de)
"MozillaMaintenanceService" = Mozilla Maintenance Service
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Office14.SingleImage" = Microsoft Office Home and Student 2010
"VLC media player" = VLC media player 2.0.5
"WinRAR archiver" = WinRAR 4.20 (32-Bit)

========== Last 20 Event Log Errors ==========

[ Application Events ]
Error - 04.04.2013 07:51:56 | Computer Name = ----| Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: Continuously busy for more than a second

Error - 04.04.2013 07:51:56 | Computer Name = ----| Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledEvent 1029

Error - 04.04.2013 07:51:56 | Computer Name = ----| Source = Bonjour Service | ID = 100
Description = Task Scheduling Error: m->NextScheduledSPRetry 1029

Error - 14.04.2013 18:05:06 | Computer Name = ---- | Source = System Restore | ID = 8209
Description =

Error - 16.04.2013 06:46:50 | Computer Name = ---- | Source = System Restore | ID = 8209
Description =

Error - 16.04.2013 08:15:46 | Computer Name = ---- | Source = System Restore | ID = 8209
Description =

Error - 16.04.2013 08:22:33 | Computer Name = ---- | Source = System Restore | ID = 8209
Description =

Error - 17.04.2013 17:06:56 | Computer Name = ---- | Source = MsiInstaller | ID = 1013
Description =

Error - 17.04.2013 17:06:56 | Computer Name = ----- | Source = MsiInstaller | ID = 11704
Description =

Error - 19.04.2013 09:11:57 | Computer Name = ---- | Source = RasClient | ID = 20227
Description =

[ System Events ]
Error - 21.01.2013 13:35:09 | Computer Name = ----- | Source = Microsoft-Windows-HAL | ID = 12
Description = Der Speicher wurde beim letzten Leistungsübergang des Systems von
der Plattformfirmware beschädigt. Überprüfen Sie, ob für Ihr System aktualisierte
Firmware verfügbar ist.

Error - 21.01.2013 14:24:36 | Computer Name = ----- | Source = Service Control Manager | ID = 7011
Description = Das Zeitlimit (30000 ms) wurde beim Warten auf eine Transaktionsrückmeldung
von Dienst ShellHWDetection erreicht.

Error - 21.01.2013 14:29:16 | Computer Name = ---- | Source = NetBT | ID = 4311
Error - 22.01.2013 04:39:37 | Computer Name = ---- | Source = Microsoft-Windows-HAL
| ID = 12

Description = Der Speicher wurde beim letzten Leistungsübergang des Systems von der Plattformfirmware beschädigt. Überprüfen Sie, ob für Ihr System aktualisierte Firmware verfügbar ist.
Error - 22.01.2013 04:51:32 | Computer Name = ---- | Source = NetBT | ID
= 4311

Error - 22.01.2013 12:52:23 | Computer Name = ---- | Source = NetBT | ID = 4311
Error - 22.01.2013 12:52:43 | Computer Name = ----| Source = NetBT | ID
= 4311

Error - 22.01.2013 17:05:37 | Computer Name = ----| Source = NetBT | ID = 4311
Error - 22.01.2013 17:06:03 | Computer Name = ----- | Source = NetBT | ID
= 4311

Error - 23.01.2013 03:51:47 | Computer Name = ---- | Source = NetBT | ID = 4311
Error - 23.01.2013 03:52:00 | Computer Name = ---- | Source = NetBT | ID
= 4311

Error - 23.01.2013 06:43:49 | Computer Name = ---- | Source = NetBT | ID = 4311
Error - 23.01.2013 06:44:11 | Computer Name = ---- | Source = NetBT | ID
= 4311

Error - 23.01.2013 11:41:41 | Computer Name = ---- | Source = NetBT | ID = 4311
Error - 23.01.2013 11:42:02 | Computer Name = ---- | Source = NetBT | ID
= 4311

Error - 23.01.2013 15:40:26 | Computer Name = ---- | Source = NetBT | ID = 4311
Error - 23.01.2013 15:40:36 | Computer Name = ---- | Source = NetBT | ID
= 4311

Error - 23.01.2013 21:00:06 | Computer Name = ---- | Source = Microsoft-Windows-HAL | ID = 12
Description = Der Speicher wurde beim letzten Leistungsübergang des Systems von
der Plattformfirmware beschädigt. Überprüfen Sie, ob für Ihr System aktualisierte
Firmware verfügbar ist.

Error - 24.01.2013 04:01:35 | Computer Name = ---- | Source = NetBT | ID = 4311
Error - 24.01.2013 04:01:53 | Computer Name = ---- | Source = NetBT | ID
= 4311


< End of report >

--- --- ---

aharonov · 19.04.2013, 15:56

Ok, dann weiter:

Schritt 1

Warnung für Mitleser:
Combofix sollte nur dann ausgeführt werden, wenn dies explizit von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix.

WICHTIG: Speichere Combofix auf deinen Desktop.
Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.
Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.
Während Combofix läuft, bitte gar nichts am Computer arbeiten, auch nicht die Maus bewegen!
Wenn Combofix fertig ist, wird es ein Logfile erstellen (C:\Combofix.txt).
Bitte poste den Inhalt dieses Logfiles in deiner nächsten Antwort.

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten

Zitat:

Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.

starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 2

Starte bitte die OTL.exe.

Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von Combofix
Log von OTL

gast123 · 19.04.2013, 16:37

Bei dem Neustart bekomme ich eine andere Fehlermeldung, die allerdings nur besagt, dass der Computer nach "unerwartetem Herunterfahren" wieder hochgefahren ist (und deshalb eventuell laufende Programme nicht ausgeführt werden konnten).

Combofix:

Combofix Logfile:

Code:

ATTFilter

ComboFix 13-04-19.01 - ---- 19.04.2013  17:13:02.1.3 - x86
Microsoft Windows 7 Ultimate   6.1.7601.1.1252.49.1031.18.3071.2218 [GMT 2:00]
ausgeführt von:: c:\users\-----\Desktop\ComboFix.exe
AV: Avira Desktop *Disabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83BD5D0C2C}
SP: Avira Desktop *Disabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C6DA4691}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Neuer Wiederherstellungspunkt wurde erstellt
.
.
(((((((((((((((((((((((   Dateien erstellt von 2013-03-19 bis 2013-04-19  ))))))))))))))))))))))))))))))
.
.
2013-04-19 15:17 . 2013-04-19 15:17    --------    d-----w-  c:\users\UpdatusUser\AppData\Local\temp
2013-04-19 15:17 . 2013-04-19 15:17    --------    d-----w-  c:\users\Default\AppData\Local\temp
2013-04-17 21:08 . 2012-08-21 11:01    26840    ----a-w-  c:\windows\system32\drivers\GEARAspiWDM.sys
2013-04-17 21:08 . 2013-04-17 21:08    --------    d-----w-  c:\programdata\188F1432-103A-4ffb-80F1-36B633C5C9E1
2013-04-17 21:08 . 2013-04-17 21:08    --------    d-----w-  c:\program files\iTunes
2013-04-17 21:08 . 2013-04-17 21:08    --------    d-----w-  c:\program files\iPod
2013-04-16 19:36 . 2013-04-16 19:36    --------    d-----w-  c:\users\----\AppData\Roaming\Malwarebytes
2013-04-16 19:35 . 2013-04-16 19:35    --------    d-----w-  c:\programdata\Malwarebytes
2013-04-16 19:35 . 2013-04-16 19:35    --------    d-----w-  c:\program files\Malwarebytes' Anti-Malware
2013-04-16 19:35 . 2013-04-04 12:50    22856    ----a-w-  c:\windows\system32\drivers\mbam.sys
2013-04-12 00:44 . 2013-02-22 03:39    678912    ----a-w-  c:\program files\Internet Explorer\iedvtool.dll
2013-04-12 00:44 . 2013-02-22 03:38    387584    ----a-w-  c:\program files\Internet Explorer\jsdbgui.dll
2013-04-12 00:44 . 2013-02-22 03:37    1427968    ----a-w-  c:\windows\system32\inetcpl.cpl
2013-04-11 14:43 . 2013-03-01 03:09    2347008    ----a-w-  c:\windows\system32\win32k.sys
2013-04-11 14:43 . 2013-01-24 04:47    196328    ----a-w-  c:\windows\system32\drivers\fvevol.sys
2013-04-11 14:43 . 2013-03-19 05:04    3968856    ----a-w-  c:\windows\system32\ntkrnlpa.exe
2013-04-11 14:43 . 2013-03-19 05:04    3913560    ----a-w-  c:\windows\system32\ntoskrnl.exe
2013-04-11 14:42 . 2013-03-19 04:48    38912    ----a-w-  c:\windows\system32\csrsrv.dll
2013-04-11 14:42 . 2013-03-19 02:49    69632    ----a-w-  c:\windows\system32\smss.exe
2013-04-11 14:42 . 2013-02-15 04:37    3217408    ----a-w-  c:\windows\system32\mstscax.dll
2013-04-11 14:42 . 2013-02-15 04:34    131584    ----a-w-  c:\windows\system32\aaclient.dll
2013-04-11 14:42 . 2013-02-15 03:25    36864    ----a-w-  c:\windows\system32\tsgqec.dll
2013-04-11 14:42 . 2013-03-02 05:07    1212264    ----a-w-  c:\windows\system32\drivers\ntfs.sys
2013-04-04 16:16 . 2013-04-04 20:41    --------    d-----w-  c:\program files\Mozilla Thunderbird
2013-03-25 16:40 . 2012-08-22 17:16    712048    ----a-w-  c:\windows\system32\drivers\ndis.sys
2013-03-25 16:40 . 2012-07-04 19:45    33280    ----a-w-  c:\windows\system32\drivers\RNDISMP.sys
2013-03-25 16:39 . 2012-08-21 20:12    245760    ----a-w-  c:\windows\system32\OxpsConverter.exe
2013-03-25 16:39 . 2012-10-03 16:42    156672    ----a-w-  c:\windows\system32\ncsi.dll
2013-03-25 16:39 . 2012-10-03 16:42    52224    ----a-w-  c:\windows\system32\nlaapi.dll
2013-03-25 16:39 . 2012-10-03 16:42    242176    ----a-w-  c:\windows\system32\nlasvc.dll
2013-03-25 16:39 . 2012-10-03 16:42    18944    ----a-w-  c:\windows\system32\netevent.dll
2013-03-25 16:39 . 2012-10-03 16:42    175104    ----a-w-  c:\windows\system32\netcorehc.dll
2013-03-25 16:39 . 2012-10-03 16:40    499712    ----a-w-  c:\windows\system32\iphlpsvc.dll
2013-03-25 16:39 . 2012-10-03 15:21    35328    ----a-w-  c:\windows\system32\drivers\tcpipreg.sys
2013-03-25 16:39 . 2012-11-23 02:48    49152    ----a-w-  c:\windows\system32\taskhost.exe
2013-03-25 16:39 . 2012-10-09 17:40    44032    ----a-w-  c:\windows\system32\dhcpcsvc6.dll
2013-03-25 16:39 . 2012-10-09 17:40    193536    ----a-w-  c:\windows\system32\dhcpcore6.dll
.
.
.
((((((((((((((((((((((((((((((((((((   Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-03-20 00:06 . 2009-07-14 02:05    152576    ----a-w-  c:\windows\system32\msclmd.dll
2013-02-25 22:22 . 2013-02-25 22:22    1985824    ----a-w-  c:\windows\system32\nvcuvenc.dll
2013-02-25 22:22 . 2012-09-09 17:53    1017120    ----a-w-  c:\windows\system32\nvdispco32.dll
2013-02-25 22:22 . 2013-02-25 22:22    6262608    ----a-w-  c:\windows\system32\nvopencl.dll
2013-02-25 22:22 . 2013-02-25 22:22    2505144    ----a-w-  c:\windows\system32\nvapi.dll
2013-02-25 22:22 . 2013-02-25 22:22    12641992    ----a-w-  c:\windows\system32\nvwgf2um.dll
2013-02-25 22:22 . 2012-10-10 20:14    892704    ----a-w-  c:\windows\system32\nvdispgenco32.dll
2013-02-25 22:22 . 2013-02-25 22:22    15129960    ----a-w-  c:\windows\system32\nvd3dum.dll
2013-02-25 22:22 . 2013-02-25 22:22    7932256    ----a-w-  c:\windows\system32\nvcuda.dll
2013-02-25 22:22 . 2013-02-25 22:22    17560352    ----a-w-  c:\windows\system32\nvcompiler.dll
2013-02-25 22:22 . 2013-02-25 22:22    20449056    ----a-w-  c:\windows\system32\nvoglv32.dll
2013-02-25 22:22 . 2013-02-25 22:22    8939296    ----a-w-  c:\windows\system32\drivers\nvlddmkm.sys
2013-02-25 22:22 . 2013-02-25 22:22    2720544    ----a-w-  c:\windows\system32\nvcuvid.dll
2013-02-12 04:48 . 2013-03-25 16:37    474112    ----a-w-  c:\windows\apppatch\AcSpecfc.dll
2013-02-12 04:48 . 2013-03-25 16:37    2176512    ----a-w-  c:\windows\apppatch\AcGenral.dll
2013-02-12 03:32 . 2013-03-14 17:06    15872    ----a-w-  c:\windows\system32\drivers\usb8023.sys
.
.
((((((((((((((((((((((((((((   Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-08-17 348664]
"APSDaemon"="c:\program files\Common Files\Apple\Apple Application Support\APSDaemon.exe" [2013-01-28 59720]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2013-02-20 152392]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SPReview"="c:\windows\System32\SPReview\SPReview.exe" [2013-03-19 280576]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 MSHUSBVideo;NX6000/NX3000/VX2000/VX5000/VX5500/VX7000/Cinema Filter Driver;c:\windows\system32\Drivers\nx6000.sys [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsusbhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
S1 avkmgr;avkmgr;c:\windows\system32\DRIVERS\avkmgr.sys [x]
S2 AntiVirSchedulerService;Avira Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
S2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [x]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
.
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://search.babylon.com/?affID=111304&tt=3512_4&babsrc=HP_ss&mntrId=4af902bd000000000000000000000000
IE: An OneNote s&enden - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: Nach Microsoft E&xcel exportieren - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.10 192.168.1.130
TCP: Interfaces\{33253C4E-3432-4985-8A45-5A59DEFB02CD}: NameServer = 192.168.1.10 192.168.1.130
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*]
@="?????????????????? v1"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*1*\CLSID]
@="{E23FE9C6-778E-49D4-B537-38FCDE4887D8}"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*]
@="?????????????????? v2"
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VideoLAN.VLCPlugin.*2*\CLSID]
@="{9BE31822-FDAD-461B-AD51-BE1D1C159921}"
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2013-04-19  17:19:01
ComboFix-quarantined-files.txt  2013-04-19 15:19
.
Vor Suchlauf: 6 Verzeichnis(se), 440.589.164.544 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 442.195.492.864 Bytes frei
.
- - End Of File - - 129456CE7E58D4E14F5BCB613ABA0BCE

--- --- ---

OTL:OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 19.04.2013 17:23:51 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\----\Desktop
 Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy

3,00 Gb Total Physical Memory | 2,13 Gb Available Physical Memory | 70,93% Memory free
6,00 Gb Paging File | 5,11 Gb Available in Paging File | 85,24% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 465,66 Gb Total Space | 411,89 Gb Free Space | 88,45% Space Free | Partition Type: NTFS
Drive J: | 100,00 Mb Total Space | 71,79 Mb Free Space | 71,79% Space Free | Partition Type: NTFS

Computer Name: ---- | User Name:-----| Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users | Quick Scan
Company Name Whitelist: On | Skip Microsoft Files: On | No Company Name Whitelist: On | File Age = 30 Days

========== Processes (SafeList) ==========

PRC - [2013.04.19 16:25:00 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\----\Desktop\OTL.exe
PRC - [2013.04.04 14:50:32 | 000,418,376 | ---- | M] (Malwarebytes Corporation) -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe
PRC - [2013.02.26 00:22:34 | 001,260,320 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
PRC - [2013.01.18 16:21:02 | 000,873,248 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\Display\nvxdsync.exe
PRC - [2013.01.18 16:21:00 | 001,821,984 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\Display\nvtray.exe
PRC - [2013.01.18 08:14:20 | 000,383,264 | ---- | M] (NVIDIA Corporation) -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
PRC - [2012.11.30 04:55:25 | 000,271,360 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\conhost.exe
PRC - [2012.11.23 04:48:41 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2012.08.17 17:47:34 | 000,348,664 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avgnt.exe
PRC - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\sched.exe
PRC - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avguard.exe
PRC - [2012.04.24 02:11:55 | 000,080,336 | ---- | M] (Avira Operations GmbH & Co. KG) -- C:\Programme\Avira\AntiVir Desktop\avshadow.exe
PRC - [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
PRC - [2010.11.20 14:17:56 | 001,121,792 | ---- | M] (Microsoft Corporation) -- C:\Programme\Windows Media Player\wmpnetwk.exe
PRC - [2009.09.14 09:00:00 | 000,200,704 | ---- | M] (SEIKO EPSON CORPORATION) -- C:\Windows\System32\spool\drivers\w32x86\3\E_FATIGGE.EXE


========== Modules (No Company Name) ==========

MOD - [2012.05.30 20:06:48 | 000,087,912 | ---- | M] () -- C:\Programme\Common Files\Apple\Apple Application Support\zlib1.dll
MOD - [2012.05.30 20:06:30 | 001,242,512 | ---- | M] () -- C:\Programme\Common Files\Apple\Apple Application Support\libxml2.dll


========== Services (SafeList) ==========

SRV - [2013.04.04 18:17:02 | 000,116,120 | ---- | M] (Mozilla Foundation) [On_Demand | Stopped] -- C:\Programme\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2013.04.04 14:50:32 | 000,701,512 | ---- | M] (Malwarebytes Corporation) [Auto | Stopped] -- C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe -- (MBAMService)
SRV - [2013.04.04 14:50:32 | 000,418,376 | ---- | M] (Malwarebytes Corporation) [Auto | Running] -- C:\Programme\Malwarebytes' Anti-Malware\mbamscheduler.exe -- (MBAMScheduler)
SRV - [2013.02.26 00:22:34 | 001,260,320 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2013.01.18 08:14:20 | 000,383,264 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Programme\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2012.07.13 13:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Programme\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012.05.02 01:42:28 | 000,086,224 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\sched.exe -- (AntiVirSchedulerService)
SRV - [2012.05.02 00:34:34 | 000,110,032 | ---- | M] (Avira Operations GmbH & Co. KG) [Auto | Running] -- C:\Programme\Avira\AntiVir Desktop\avguard.exe -- (AntiVirService)
SRV - [2010.11.20 14:17:56 | 001,121,792 | ---- | M] (Microsoft Corporation) [On_Demand | Running] -- C:\Programme\Windows Media Player\wmpnetwk.exe -- (WMPNetworkSvc)
SRV - [2010.01.09 21:37:50 | 004,640,000 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE -- (osppsvc)
SRV - [2010.01.09 21:18:00 | 000,149,352 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Programme\Common Files\microsoft shared\Source Engine\OSE.EXE -- (ose)
SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 03:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Stopped] -- C:\Programme\Windows Defender\MpSvc.dll -- (WinDefend)


========== Driver Services (SafeList) ==========

DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\ComboFix\mbr.sys -- (mbr)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\-----\AppData\Local\Temp\catchme.sys -- (catchme)
DRV - [2013.04.04 14:50:32 | 000,022,856 | ---- | M] (Malwarebytes Corporation) [File_System | On_Demand | Running] -- C:\Windows\System32\drivers\mbam.sys -- (MBAMProtector)
DRV - [2013.02.26 00:22:06 | 008,939,296 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2012.04.27 10:20:04 | 000,137,928 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avipbb.sys -- (avipbb)
DRV - [2012.04.25 00:32:27 | 000,083,392 | ---- | M] (Avira GmbH) [File_System | Auto | Running] -- C:\Windows\System32\drivers\avgntflt.sys -- (avgntflt)
DRV - [2012.04.16 21:17:40 | 000,036,000 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\avkmgr.sys -- (avkmgr)
DRV - [2011.12.15 19:29:42 | 000,026,624 | ---- | M] (The OpenVPN Project) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\tap0901.sys -- (tap0901)
DRV - [2010.11.20 14:30:15 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmbus.sys -- (vmbus)
DRV - [2010.11.20 14:30:15 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010.11.20 14:30:15 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\storvsc.sys -- (storvsc)
DRV - [2010.11.20 12:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010.11.20 12:21:14 | 000,015,872 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\rdpvideominiport.sys -- (RdpVideoMiniport)
DRV - [2010.11.20 11:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010.11.20 11:14:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010.11.20 11:14:41 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vms3cap.sys -- (s3cap)
DRV - [2010.06.17 15:14:27 | 000,028,520 | ---- | M] (Avira GmbH) [Kernel | System | Running] -- C:\Windows\System32\drivers\ssmdrv.sys -- (ssmdrv)
DRV - [2010.01.29 01:03:58 | 000,030,576 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\nx6000.sys -- (MSHUSBVideo)


========== Standard Registry (SafeList) ==========


========== Internet Explorer ==========

IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0


IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.babylon.com/?affID=111304&tt=3512_4&babsrc=HP_ss&mntrId=4af902bd000000000000000000000000
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de-DE
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 48 6A 42 75 F9 82 CD 01  [binary data]
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = hxxp://search.babylon.com/?q={searchTerms}&affID=111304&tt=3512_4&babsrc=SP_ss&mntrId=4af902bd000000000000000000000000
IE - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0



========== FireFox ==========

FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32_11_5_502_110.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
FF - HKLM\Software\MozillaPlugins\@java.com/DTPlugin,version=10.7.2: C:\Windows\system32\npDeployJava1.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin,version=10.7.2: C:\Program Files\Java\jre7\bin\plugin2\npjp2.dll (Oracle Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/OfficeAuthz,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPAUTHZ.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@microsoft.com/SharePoint,version=14.0: C:\PROGRA~1\MICROS~2\Office14\NPSPWRAP.DLL (Microsoft Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
FF - HKLM\Software\MozillaPlugins\@videolan.org/vlc,version=2.0.5: C:\Program Files\VideoLAN\VLC\npvlc.dll (VideoLAN)
FF - HKCU\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)

FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.5\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2013.04.04 18:16:58 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Mozilla Thunderbird 17.0.5\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 17.0.5\extensions\\Components: C:\Program Files\Mozilla Thunderbird\components [2013.04.04 18:16:58 | 000,000,000 | ---D | M]
FF - HKEY_CURRENT_USER\software\mozilla\Mozilla Thunderbird 17.0.5\extensions\\Plugins: C:\Program Files\Mozilla Thunderbird\plugins

[2012.07.11 00:22:17 | 000,000,000 | ---D | M] (No name found) -- C:\Users\-----\AppData\Roaming\mozilla\Extensions
[2012.08.30 09:43:13 | 000,000,000 | ---D | M] (No name found) -- C:\Programme\Mozilla Firefox\extensions

O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Java(tm) Plug-In SSV Helper) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre7\bin\ssv.dll (Oracle Corporation)
O2 - BHO: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Programme\Microsoft Office\Office14\URLREDIR.DLL (Microsoft Corporation)
O2 - BHO: (Java(tm) Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre7\bin\jp2ssv.dll (Oracle Corporation)
O3 - HKLM\..\Toolbar: (Easy Photo Print) - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - C:\Programme\Epson Software\Easy Photo Print\EPTBL.dll (SEIKO EPSON CORPORATION / CyCom Technology Corp.)
O4 - HKLM..\Run: [APSDaemon] C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe (Apple Inc.)
O4 - HKLM..\Run: [avgnt] C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (Avira Operations GmbH & Co. KG)
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] C:\Windows\System32\SPReview\SPReview.exe (Microsoft Corporation)
O4 - HKU\@1..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] C:\Windows\System32\SPReview\SPReview.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-3950097478-995871601-3625859196-1001..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\@1\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-3950097478-995871601-3625859196-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-3950097478-995871601-3625859196-1001\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: An OneNote s&enden - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O8 - Extra context menu item: Nach Microsoft E&xcel exportieren - C:\Programme\Microsoft Office\Office14\EXCEL.EXE (Microsoft Corporation)
O9 - Extra Button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Programme\Microsoft Office\Office14\ONBttnIE.dll (Microsoft Corporation)
O9 - Extra Button: Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O9 - Extra 'Tools' menuitem : Verknüpfte &OneNote-Notizen - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Programme\Microsoft Office\Office14\ONBttnIELinkedNotes.dll (Microsoft Corporation)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000005 [] - C:\Programme\Bonjour\mdnsNSP.dll (Apple Inc.)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab (Reg Error: Key error.)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.1.10 192.168.1.130
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{33253C4E-3432-4985-8A45-5A59DEFB02CD}: NameServer = 192.168.1.10 192.168.1.130
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{4C44D06C-A5CA-40AE-9113-DE0892FC5411}: DhcpNameServer = 192.168.1.10 192.168.1.130
O18 - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - C:\Programme\Common Files\microsoft shared\Help\hxds.dll (Microsoft Corporation)
O18 - Protocol\Handler\skype4com {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Programme\Common Files\Skype\Skype4COM.dll (Skype Technologies)
O18 - Protocol\Filter\text/xml {807573E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Common Files\microsoft shared\OFFICE14\MSOXMLMF.DLL (Microsoft Corporation)
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = ComFile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)

========== Files/Folders - Created Within 30 Days ==========

[2013.04.19 17:19:03 | 000,000,000 | ---D | C] -- C:\Windows\temp
[2013.04.19 17:18:14 | 000,000,000 | -HSD | C] -- C:\$RECYCLE.BIN
[2013.04.19 17:11:54 | 000,518,144 | ---- | C] (SteelWerX) -- C:\Windows\SWREG.exe
[2013.04.19 17:11:54 | 000,406,528 | ---- | C] (SteelWerX) -- C:\Windows\SWSC.exe
[2013.04.19 17:11:54 | 000,060,416 | ---- | C] (NirSoft) -- C:\Windows\NIRCMD.exe
[2013.04.19 17:11:48 | 000,000,000 | ---D | C] -- C:\Qoobox
[2013.04.19 17:11:39 | 000,000,000 | ---D | C] -- C:\Windows\erdnt
[2013.04.19 17:07:38 | 005,056,689 | R--- | C] (Swearware) -- C:\Users\-----\Desktop\ComboFix.exe
[2013.04.19 16:25:00 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\-----\Desktop\OTL.exe
[2013.04.17 23:09:27 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iTunes
[2013.04.17 23:08:37 | 000,000,000 | ---D | C] -- C:\Program Files\iTunes
[2013.04.17 23:08:37 | 000,000,000 | ---D | C] -- C:\Program Files\iPod
[2013.04.17 23:08:37 | 000,000,000 | ---D | C] -- C:\ProgramData\188F1432-103A-4ffb-80F1-36B633C5C9E1
[2013.04.16 21:36:06 | 000,000,000 | ---D | C] -- C:\Users\-----\AppData\Roaming\Malwarebytes
[2013.04.16 21:35:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes' Anti-Malware
[2013.04.16 21:35:33 | 000,000,000 | ---D | C] -- C:\ProgramData\Malwarebytes
[2013.04.16 21:35:32 | 000,022,856 | ---- | C] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[2013.04.16 21:35:32 | 000,000,000 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[2013.04.12 22:48:17 | 000,000,000 | ---D | C] -- C:\Windows\Minidump
[2013.04.04 18:16:58 | 000,000,000 | ---D | C] -- C:\Program Files\Mozilla Thunderbird
[1 C:\Users\Nana xxxx\Desktop\*.tmp files -> C:\Users\----\Desktop\*.tmp -> ]

========== Files - Modified Within 30 Days ==========

[2013.04.19 17:07:51 | 005,056,689 | R--- | M] (Swearware) -- C:\Users\-----\Desktop\ComboFix.exe
[2013.04.19 16:28:50 | 000,014,592 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.04.19 16:28:50 | 000,014,592 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.04.19 16:25:00 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\-----\Desktop\OTL.exe
[2013.04.19 16:24:55 | 000,653,928 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.04.19 16:24:55 | 000,615,810 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.04.19 16:24:55 | 000,129,800 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.04.19 16:24:55 | 000,106,190 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.04.19 16:20:43 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.04.19 16:20:37 | 400,639,810 | ---- | M] () -- C:\Windows\MEMORY.DMP
[2013.04.19 16:20:35 | 2415,370,240 | -HS- | M] () -- C:\hiberfil.sys
[2013.04.19 15:32:47 | 000,377,856 | ---- | M] () -- C:\Users\-----\Desktop\gmer_2.1.19163.exe
[2013.04.19 15:29:23 | 000,050,477 | ---- | M] () -- C:\Users\----\Desktop\Defogger.exe
[2013.04.19 15:27:59 | 000,000,000 | ---- | M] () -- C:\Users\----\defogger_reenable
[2013.04.17 23:09:27 | 000,001,753 | ---- | M] () -- C:\Users\Public\Desktop\iTunes.lnk
[2013.04.16 21:35:33 | 000,001,067 | ---- | M] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2013.04.12 11:37:27 | 000,342,816 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.04.04 14:50:32 | 000,022,856 | ---- | M] (Malwarebytes Corporation) -- C:\Windows\System32\drivers\mbam.sys
[1 C:\Users\----\Desktop\*.tmp files -> C:\Users\----\Desktop\*.tmp -> ]

========== Files Created - No Company Name ==========

[2013.04.19 17:11:54 | 000,256,000 | ---- | C] () -- C:\Windows\PEV.exe
[2013.04.19 17:11:54 | 000,208,896 | ---- | C] () -- C:\Windows\MBR.exe
[2013.04.19 17:11:54 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2013.04.19 17:11:54 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2013.04.19 17:11:54 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe
[2013.04.19 16:20:37 | 400,639,810 | ---- | C] () -- C:\Windows\MEMORY.DMP
[2013.04.19 15:32:47 | 000,377,856 | ---- | C] () -- C:\Users\----\Desktop\gmer_2.1.19163.exe
[2013.04.19 15:29:23 | 000,050,477 | ---- | C] () -- C:\Users\-----\Desktop\Defogger.exe
[2013.04.19 15:27:59 | 000,000,000 | ---- | C] () -- C:\Users\-----\defogger_reenable
[2013.04.17 23:20:28 | 000,001,787 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk
[2013.04.17 23:09:27 | 000,001,753 | ---- | C] () -- C:\Users\Public\Desktop\iTunes.lnk
[2013.04.16 21:35:33 | 000,001,067 | ---- | C] () -- C:\Users\Public\Desktop\ Malwarebytes Anti-Malware .lnk
[2012.07.14 03:47:31 | 000,080,896 | ---- | C] () -- C:\Windows\System32\RDVGHelper.exe
[2012.07.14 03:46:48 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe

========== ZeroAccess Check ==========

[2009.07.14 06:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini

[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2012.06.09 06:41:00 | 012,873,728 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 14:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 03:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

========== LOP Check ==========

[2013.01.21 23:26:07 | 000,000,000 | ---D | M] -- C:\Users\----\AppData\Roaming\.minecraft
[2013.01.21 23:28:06 | 000,000,000 | ---D | M] -- C:\Users\----\AppData\Roaming\.minecraft 1.6
[2012.08.30 09:43:07 | 000,000,000 | ---D | M] -- C:\Users\----\AppData\Roaming\Babylon
[2012.10.17 22:18:57 | 000,000,000 | ---D | M] -- C:\Users\----\AppData\Roaming\Dropbox
[2012.11.10 19:53:53 | 000,000,000 | ---D | M] -- C:\Users\----\AppData\Roaming\EPSON
[2012.07.11 00:20:28 | 000,000,000 | ---D | M] -- C:\Users\----\AppData\Roaming\Opera
[2012.08.30 09:47:53 | 000,000,000 | ---D | M] -- C:\Users\----\AppData\Roaming\pdfforge
[2013.03.17 12:49:12 | 000,000,000 | ---D | M] -- C:\Users\----\AppData\Roaming\Swiss Academic Software
[2012.07.11 00:22:17 | 000,000,000 | ---D | M] -- C:\Users\----\AppData\Roaming\Thunderbird

========== Purity Check ==========



< End of report >

--- --- ---

aharonov · 19.04.2013, 17:31

Jep, gut gemacht. Hier der nächste Schritt:

Schritt 1

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinen Desktop.

Entpacke das Archiv auf deinem Desktop.
Im neu erstellten Ordner starte bitte die mbar.exe.
Wenn eine Warnung "Registry value AppInit_Dlls has been found, .." erscheint, drücke Nein.
Folge dann den Anweisungen, führe das Update aus und drücke dann Scan.

Falls Funde angezeigt werden:

Klicke auf den CleanUp Button und erlaube den Neustart.
Während des Neustarts wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
Nach dem Neustart starte die mbar.exe erneut und wiederhole den Scan.
Sollte nochmals was gefunden werden, führe erneut den CleanUp-Prozess durch.

Das Tool wird im erstellten Ordner Logfiles (mbar-log-<Jahr-Monat-Tag>.txt) erzeugen. Bitte poste deren Inhalt hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers.

Bitte poste in deiner nächsten Antwort:

Log von MBAR

gast123 · 19.04.2013, 19:25

Ich brauchte hierbei nur einen Durchlauf.

Malwarebytes Anti-Rootkit BETA 1.05.0.1001
www.malwarebytes.org

Database version: v2013.04.19.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421

19.04.2013 20:18:38
mbar-log-2013-04-19 (20-18-38).txt

Scan type: Quick scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 27870
Time elapsed: 6 minute(s), 54 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

aharonov · 19.04.2013, 20:05

Sieht gut aus.
Wie läuft der Rechner jetzt?

gast123 · 19.04.2013, 20:08

Ich befürchte das Problem besteht immernoch. Es hat sich nichts geändert.
(Das heißt, er hängt sich sowohl bei Nuestarts, als auch dem Ausführen von Programmen auf - inklusive des Problems mit der Tastatur.)

aharonov · 19.04.2013, 20:14

Schauen wir mal von ausserhalb rein:

Schritt 1

Downloade dir bitte Farbar Recovery Scan Tool 32-Bit und speichere diese auf einen USB Stick (nicht in einen Unterordner!).
Schliesse den USB Stick an den infizierten Rechner an.

Du musst das System nun in die System Reparatur Option booten:

Variante 1 - Über den Boot Manager
Starte den Rechner neu auf.

Während des Hochfahrens drücke mehrmals die F8 Taste.

Wähle nun Computer reparieren.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

oder

Variante 2 - Mit Windows CD/DVD
Lege die Windows CD in dein Laufwerk.

Starte den Rechner neu auf und boote von der CD.

Wähle die Spracheinstellungen und klicke Weiter.

Klicke auf Computerreparaturoptionen.

Wähle dein Betriebssystem und Benutzerkonto und klicke jeweils Weiter.

Wenn du jetzt in den Reparaturoptionen bist, wähle Eingabeaufforderung.

Gib nun bitte notepad ein und drücke Enter.
- Es öffnet sich ein Textdokument. Klicke auf Datei -> Speichern unter und wähle Computer.
- Lese hier nun den Laufwerksbuchstaben deines USB Sticks (z.B. e:\) ab.
- Schliesse Notepad wieder.
Gib nun bitte folgenden Befehl ein und drücke Enter:
e:\frst.exe
Hinweis: e steht für den Laufwerksbuchstaben deines USB Sticks. Wenn es bei dir ein anderer Buchstabe ist, dann passe den Befehl entsprechend an.
Akzeptiere den Disclaimer mit Yes und klicke Scan.

Das Tool erstellt eine Datei FRST.txt auf deinem USB Stick. Poste dessen Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Log von FRST

gast123 · 19.04.2013, 20:31

Mh... also ich habe es mal mit Variante eins Versucht, doch ich komme beim Hochfahren dann ins Menu zu "Please select boot device", wo mir 4 USB-Varianten angezeigt werden. Bei dreien davon geht er über zum Hochfahren von Windows, deim 4. bekomme ich nur die Nachricht "missing boot devices".

(Ich fürchte Variante 2 steht mir im Moment nicht zur Verfügung. Da ich den Computer von jemandem übernommen habe, habe ich momentan keine Windows CD parat.)

EDIT: Ich muss den letzten Satz revidieren (habe sie doch noch gefunden). Sobald ich hier auf die CD / DVD Option im Boot Menü gehe, bekomme ich die Meldung, dass das System nicht ausgeführt werden kann (z.B. aufgrund von Softwareänderungen). Danach bekomme ich schließlich die Option zur Systemwiederherstellung.
Bei früheren Versuchen einer Wiederherstellung wurde diese durch die genannten Problem allerdings verhindert (daher weiß ich nicht, ob diese Option etwas nützen würde).

aharonov · 19.04.2013, 20:37

Zitat:

doch ich komme beim Hochfahren dann ins Menu zu "Please select boot device", wo mir 4 USB-Varianten angezeigt werden.

Du hast wohl die F8-Taste zu früh gedrückt. Wir wollen nicht vom USB-Stick booten sondern in die Reperaturoptionen. Wenn du die hast, dann sollte sie in den Optionen neben den abgesicherten Modi gelistet sein.

gast123 · 19.04.2013, 20:44

Wenn ich versuche F8 später zu drücken, passiert leider nichts. Er fährt einfach wie gewohnt hoch...

19.04.2013, 20:05	#10
aharonov /// TB-Ausbilder	Problem: Unerwartete Abstürze nach Virenfund Sieht gut aus. Wie läuft der Rechner jetzt? __________________ cheers, Leo

Problem: Unerwartete Abstürze nach Virenfund

Plagegeister aller Art und deren Bekämpfung: Problem: Unerwartete Abstürze nach Virenfund