rechner gesperrt ,bundesamt-trojaner

Franksch · 10.05.2013, 10:10

hiho allerseits,
ich habe mir vermutlich den bundesamt-trojaner eingefangen.
weisser bildschirm mit der meldung, ich solle 100€ in form einer paysafe-card zahlen. :-/
nun hab ich mich hier im forum durchgewühlt und gesehen, dass man scheinbar immer diese logfile braucht.
hab die gleich mal gemacht und mit gepostet.
vielleicht kann mir jemand helfen damit ich den rechner wieder alleine fit bekomme.
vielen dank vorab

in hoffnungsvoller erwartung ;-)
frank

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 08-05-2013
Ran by SYSTEM on 10-05-2013 10:50:34
Running from N:\
Windows 7 Ultimate (X86) OS Language: German Standard
Internet Explorer Version 9
Boot Mode: Recovery
The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and Addition.txt log.

==================== Registry (Whitelisted) ==================

HKU\pepi\...\Winlogon: [Shell] explorer.exe,C:\Users\pepi\AppData\Roaming\skype.dat <==== ATTENTION

========================== Services (Whitelisted) =================

S3 npggsvc; C:\Windows\system32\GameMon.des [3979632 2010-12-07] (INCA Internet Co., Ltd.)
S4 SProtection; C:\Program Files\Common Files\Umbrella\umbrella.exe [2795048 2013-04-24] (Iminent)
S2 SystemStoreService; C:\Program Files\SoftwareUpdater\SystemStore.exe [296448 2013-04-30] ()
S2 AviraUpgradeService; "C:\Windows\TEMP\AVSETUP_517cd530\avupgsvc.exe" /TEMPSTART:""C:\Windows\TEMP\AVSETUP_517cd530\setup.exe" /NOTEMPCLEANUP /CROSSUPGRADE" [x]

==================== Drivers (Whitelisted) ====================

S3 ALCXWDM; C:\Windows\System32\drivers\ALCXWDM.SYS [2319680 2005-05-18] (Realtek Semiconductor Corp.)
S3 BazisVirtualCD; C:\Windows\System32\DRIVERS\BazisVirtualCD.sys [61080 2009-07-01] (Bazis)
S3 BazisVirtualCDBus; C:\Windows\System32\DRIVERS\BazisVirtualCDBus.sys [135320 2009-12-06] (SysProgs.org)
S3 EL90Xbc; C:\Windows\System32\DRIVERS\el90Xbc5.SYS [74338 2002-08-13] (3Com Corporation)
S3 epmntdrv; C:\Windows\system32\epmntdrv.sys [14216 2011-07-29] ()
S3 EuGdiDrv; C:\Windows\system32\EuGdiDrv.sys [8456 2011-07-29] ()
S3 NPPTNT2; C:\Windows\system32\npptNT2.sys [4682 2005-01-03] (INCA Internet Co., Ltd.)
S0 sptd; C:\Windows\System32\Drivers\sptd.sys [691696 2010-02-05] (Duplex Secure Ltd.)
S2 TBPanel; C:\Windows\System32\Drivers\TBPanel.sys [12256 2007-03-16] (Windows (R) 2000 DDK provider)
S3 VirtDiskBus; C:\Windows\System32\DRIVERS\VirtDiskBus.sys [63640 2009-07-01] (Bazis)
S3 dump_wmimmc; \??\F:\gPotato.eu\Dragonica\Release\GameGuard\dump_wmimmc.sys [x]
S0 St320hg; system32\DRIVERS\st320hg.sys [x]
S3 StarOpen; No ImagePath
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [x]
S3 tsusbhub; system32\drivers\tsusbhub.sys [x]
S3 VGPU; System32\drivers\rdvgkmd.sys [x]
S3 XDva401; \??\C:\Windows\system32\XDva401.sys [x]

==================== NetSvcs (Whitelisted) ===================

==================== One Month Created Files and Folders ========

2013-05-10 10:50 - 2013-05-10 10:50 - 00000000 ____D C:\FRST
2013-05-10 08:40 - 2013-05-10 09:37 - 00000004 ____A C:\Users\pepi\AppData\Roaming\skype.ini
2013-04-30 15:58 - 2013-05-10 09:22 - 00001008 ____A C:\Windows\setupact.log
2013-04-30 15:58 - 2013-04-30 15:58 - 00000790 ____A C:\Windows\PFRO.log
2013-04-28 09:43 - 2013-04-28 09:43 - 00000000 ____D C:\Users\pepi\AppData\Local\Techlogix
2013-04-28 09:00 - 2013-04-28 09:00 - 00000000 ____D C:\Users\pepi\AppData\Local\Freemium
2013-04-28 08:59 - 2013-04-28 08:59 - 00000000 ____D C:\Users\pepi\AppData\Roaming\SimplyTech
2013-04-28 08:59 - 2013-04-28 08:59 - 00000000 ____D C:\Users\pepi\AppData\Roaming\HomeTab
2013-04-28 08:59 - 2013-04-28 08:59 - 00000000 ____D C:\Program Files\Protected Search
2013-04-28 08:59 - 2013-04-28 08:59 - 00000000 ____D C:\Program Files\HomeTab
2013-04-28 08:59 - 2013-03-19 05:41 - 00016896 ____A C:\Windows\Launcher.exe
2013-04-28 08:58 - 2013-04-28 08:58 - 00000611 ____A C:\Windows\System32\InstallUtil.InstallLog
2013-04-28 08:58 - 2013-04-28 08:58 - 00000000 ____D C:\Users\pepi\AppData\Roaming\Iminent
2013-04-28 08:58 - 2013-04-28 08:58 - 00000000 ____D C:\ProgramData\Iminent
2013-04-28 08:58 - 2013-04-28 08:58 - 00000000 ____D C:\Program Files\Iminent
2013-04-28 08:58 - 2013-04-28 08:58 - 00000000 ____D C:\Program Files\Common Files\Umbrella
2013-04-28 08:58 - 2013-04-28 08:58 - 00000000 ____D C:\Program Files\Browser Updater
2013-04-28 08:54 - 2013-04-28 08:55 - 00000000 ____D C:\Program Files\SoftwareUpdater
2013-04-28 08:54 - 2013-04-28 08:54 - 00002551 ____A C:\Users\Public\Desktop\Free System Utilities.lnk
2013-04-28 08:54 - 2013-04-28 08:54 - 00000000 ____D C:\Users\pepi\AppData\Roaming\Complitly
2013-04-28 08:54 - 2013-04-28 08:54 - 00000000 ____D C:\ProgramData\Package Cache
2013-04-28 08:54 - 2013-04-28 08:54 - 00000000 ____D C:\ProgramData\FreeSystemUtilities
2013-04-28 08:54 - 2013-04-28 08:54 - 00000000 ____D C:\Program Files\Covus Freemium
2013-04-28 08:54 - 2013-04-28 08:54 - 00000000 ____D C:\Program Files\Complitly
2013-04-28 08:53 - 2013-04-28 08:53 - 00444408 ____A C:\Users\pepi\Downloads\DE_FreeSystemUtilities.exe
2013-04-28 08:53 - 2013-04-28 08:53 - 00000207 ____A C:\Users\pepi\Desktop\Amazon.url
2013-04-28 08:53 - 2013-04-28 08:53 - 00000000 ____D C:\Users\pepi\AppData\Local\DownloadGuide
2013-04-26 20:04 - 2013-04-26 20:04 - 00003214 ____A C:\Users\pepi\Desktop\bewerbungcsi.odt
2013-04-25 18:52 - 2013-04-25 18:53 - 00000000 ____D C:\Users\pepi\.tfo4
2013-04-25 18:52 - 2013-04-25 18:52 - 00000000 ____D C:\Users\pepi\4.0
2013-04-25 18:52 - 2013-04-25 18:52 - 00000000 ____D C:\ProgramData\Sun
2013-04-25 18:52 - 2013-04-25 18:52 - 00000000 ____D C:\Program Files\Common Files\Java
2013-04-25 18:51 - 2013-04-25 18:51 - 00472808 ____A (Sun Microsystems, Inc.) C:\Windows\System32\deployJava1.dll
2013-04-25 18:51 - 2013-04-25 18:51 - 00157472 ____A (Sun Microsystems, Inc.) C:\Windows\System32\javaws.exe
2013-04-25 18:51 - 2013-04-25 18:51 - 00145184 ____A (Sun Microsystems, Inc.) C:\Windows\System32\javaw.exe
2013-04-25 18:51 - 2013-04-25 18:51 - 00145184 ____A (Sun Microsystems, Inc.) C:\Windows\System32\java.exe
2013-04-25 18:51 - 2013-04-25 18:51 - 00000000 ____D C:\Program Files\Java
2013-04-24 14:08 - 2013-04-12 14:45 - 01211752 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ntfs.sys
2013-04-14 08:44 - 2013-02-22 05:05 - 12324352 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-04-14 08:44 - 2013-02-22 04:47 - 09738752 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-04-14 08:44 - 2013-02-22 04:46 - 01800704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-04-14 08:44 - 2013-02-22 04:38 - 01129472 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-04-14 08:44 - 2013-02-22 04:38 - 01104384 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-04-14 08:44 - 2013-02-22 04:37 - 01427968 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-04-14 08:44 - 2013-02-22 04:36 - 00231936 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-04-14 08:44 - 2013-02-22 04:35 - 00065024 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-04-14 08:44 - 2013-02-22 04:34 - 00717824 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-04-14 08:44 - 2013-02-22 04:34 - 00420864 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-04-14 08:44 - 2013-02-22 04:34 - 00142848 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-04-14 08:44 - 2013-02-22 04:33 - 00607744 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-04-14 08:44 - 2013-02-22 04:32 - 01796096 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-04-14 08:44 - 2013-02-22 04:31 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-04-14 08:44 - 2013-02-22 04:31 - 00073216 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-04-14 08:44 - 2013-02-22 04:28 - 00176640 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-04-12 06:14 - 2013-03-19 06:04 - 03968856 ____A (Microsoft Corporation) C:\Windows\System32\ntkrnlpa.exe
2013-04-12 06:14 - 2013-03-19 06:04 - 03913560 ____A (Microsoft Corporation) C:\Windows\System32\ntoskrnl.exe
2013-04-12 06:14 - 2013-03-19 05:48 - 00038912 ____A (Microsoft Corporation) C:\Windows\System32\csrsrv.dll
2013-04-12 06:14 - 2013-03-19 03:49 - 00069632 ____A (Microsoft Corporation) C:\Windows\System32\smss.exe
2013-04-12 06:14 - 2013-03-01 04:09 - 02347008 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys
2013-04-12 06:14 - 2013-02-15 05:37 - 03217408 ____A (Microsoft Corporation) C:\Windows\System32\mstscax.dll
2013-04-12 06:14 - 2013-02-15 05:34 - 00131584 ____A (Microsoft Corporation) C:\Windows\System32\aaclient.dll
2013-04-12 06:14 - 2013-02-15 04:25 - 00036864 ____A (Microsoft Corporation) C:\Windows\System32\tsgqec.dll
2013-04-12 06:14 - 2013-01-24 05:47 - 00196328 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\fvevol.sys

==================== One Month Modified Files and Folders ========

2013-05-10 10:50 - 2013-05-10 10:50 - 00000000 ____D C:\FRST
2013-05-10 09:37 - 2013-05-10 08:40 - 00000004 ____A C:\Users\pepi\AppData\Roaming\skype.ini
2013-05-10 09:37 - 2011-01-29 22:30 - 00000000 ____D C:\Users\pepi\AppData\Local\TSVNCache
2013-05-10 09:37 - 2009-11-02 19:32 - 01655524 ____A C:\Windows\WindowsUpdate.log
2013-05-10 09:33 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\tracing
2013-05-10 09:27 - 2009-07-14 05:34 - 00017264 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-05-10 09:27 - 2009-07-14 05:34 - 00017264 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-05-10 09:22 - 2013-04-30 15:58 - 00001008 ____A C:\Windows\setupact.log
2013-05-10 09:22 - 2012-10-24 14:12 - 00000000 ____D C:\ProgramData\NVIDIA
2013-05-10 09:22 - 2010-09-04 20:59 - 00001090 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-05-10 09:22 - 2009-07-14 05:53 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-05-10 09:14 - 2010-09-04 20:59 - 00001094 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-05-08 11:09 - 2010-08-19 11:16 - 00000000 ___HD C:\Users\pepi\Documents\Runes of Magic
2013-05-03 17:09 - 2009-07-14 05:33 - 00268272 ____A C:\Windows\System32\FNTCACHE.DAT
2013-05-02 13:51 - 2009-11-09 18:11 - 00058016 ____A C:\Users\pepi\AppData\Local\GDIPFONTCACHEV1.DAT
2013-05-02 13:29 - 2009-07-14 03:37 - 00000000 ____D C:\Program Files\Common Files\microsoft shared
2013-05-02 13:28 - 2013-03-26 16:42 - 00000000 ____D C:\Program Files\Microsoft Office
2013-05-02 13:26 - 2013-03-26 16:41 - 00000000 ____D C:\Program Files\MSECache
2013-05-02 13:12 - 2009-11-02 19:39 - 01527740 ____A C:\Windows\System32\PerfStringBackup.INI
2013-05-02 01:06 - 2009-10-14 03:21 - 00238872 ____N (Microsoft Corporation) C:\Windows\System32\MpSigStub.exe
2013-04-30 15:58 - 2013-04-30 15:58 - 00000790 ____A C:\Windows\PFRO.log
2013-04-28 09:43 - 2013-04-28 09:43 - 00000000 ____D C:\Users\pepi\AppData\Local\Techlogix
2013-04-28 09:33 - 2012-12-26 15:10 - 00000000 ____D C:\Program Files\TeamSpeak 3 Client
2013-04-28 09:33 - 2012-06-30 15:05 - 00000000 ____D C:\Program Files\TortoiseSVN
2013-04-28 09:33 - 2011-11-19 12:45 - 00000000 ____D C:\Users\pepi\AppData\Local\Turbine
2013-04-28 09:33 - 2010-03-27 13:39 - 00000000 ____D C:\Users\pepi\AppData\Roaming\inFlow Inventory
2013-04-28 09:33 - 2009-11-02 19:35 - 00000000 ____D C:\Users\pepi\AppData\Local\VirtualStore
2013-04-28 09:33 - 2009-10-14 04:07 - 00000000 ____D C:\Windows\Panther
2013-04-28 09:33 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\Msdtc
2013-04-28 09:00 - 2013-04-28 09:00 - 00000000 ____D C:\Users\pepi\AppData\Local\Freemium
2013-04-28 08:59 - 2013-04-28 08:59 - 00000000 ____D C:\Users\pepi\AppData\Roaming\SimplyTech
2013-04-28 08:59 - 2013-04-28 08:59 - 00000000 ____D C:\Users\pepi\AppData\Roaming\HomeTab
2013-04-28 08:59 - 2013-04-28 08:59 - 00000000 ____D C:\Program Files\Protected Search
2013-04-28 08:59 - 2013-04-28 08:59 - 00000000 ____D C:\Program Files\HomeTab
2013-04-28 08:58 - 2013-04-28 08:58 - 00000611 ____A C:\Windows\System32\InstallUtil.InstallLog
2013-04-28 08:58 - 2013-04-28 08:58 - 00000000 ____D C:\Users\pepi\AppData\Roaming\Iminent
2013-04-28 08:58 - 2013-04-28 08:58 - 00000000 ____D C:\ProgramData\Iminent
2013-04-28 08:58 - 2013-04-28 08:58 - 00000000 ____D C:\Program Files\Iminent
2013-04-28 08:58 - 2013-04-28 08:58 - 00000000 ____D C:\Program Files\Common Files\Umbrella
2013-04-28 08:58 - 2013-04-28 08:58 - 00000000 ____D C:\Program Files\Browser Updater
2013-04-28 08:55 - 2013-04-28 08:54 - 00000000 ____D C:\Program Files\SoftwareUpdater
2013-04-28 08:54 - 2013-04-28 08:54 - 00002551 ____A C:\Users\Public\Desktop\Free System Utilities.lnk
2013-04-28 08:54 - 2013-04-28 08:54 - 00000000 ____D C:\Users\pepi\AppData\Roaming\Complitly
2013-04-28 08:54 - 2013-04-28 08:54 - 00000000 ____D C:\ProgramData\Package Cache
2013-04-28 08:54 - 2013-04-28 08:54 - 00000000 ____D C:\ProgramData\FreeSystemUtilities
2013-04-28 08:54 - 2013-04-28 08:54 - 00000000 ____D C:\Program Files\Covus Freemium
2013-04-28 08:54 - 2013-04-28 08:54 - 00000000 ____D C:\Program Files\Complitly
2013-04-28 08:53 - 2013-04-28 08:53 - 00444408 ____A C:\Users\pepi\Downloads\DE_FreeSystemUtilities.exe
2013-04-28 08:53 - 2013-04-28 08:53 - 00000207 ____A C:\Users\pepi\Desktop\Amazon.url
2013-04-28 08:53 - 2013-04-28 08:53 - 00000000 ____D C:\Users\pepi\AppData\Local\DownloadGuide
2013-04-26 20:04 - 2013-04-26 20:04 - 00003214 ____A C:\Users\pepi\Desktop\bewerbungcsi.odt
2013-04-25 18:53 - 2013-04-25 18:52 - 00000000 ____D C:\Users\pepi\.tfo4
2013-04-25 18:52 - 2013-04-25 18:52 - 00000000 ____D C:\Users\pepi\4.0
2013-04-25 18:52 - 2013-04-25 18:52 - 00000000 ____D C:\ProgramData\Sun
2013-04-25 18:52 - 2013-04-25 18:52 - 00000000 ____D C:\Program Files\Common Files\Java
2013-04-25 18:52 - 2009-11-02 19:34 - 00000000 ____D C:\users\pepi
2013-04-25 18:51 - 2013-04-25 18:51 - 00472808 ____A (Sun Microsystems, Inc.) C:\Windows\System32\deployJava1.dll
2013-04-25 18:51 - 2013-04-25 18:51 - 00157472 ____A (Sun Microsystems, Inc.) C:\Windows\System32\javaws.exe
2013-04-25 18:51 - 2013-04-25 18:51 - 00145184 ____A (Sun Microsystems, Inc.) C:\Windows\System32\javaw.exe
2013-04-25 18:51 - 2013-04-25 18:51 - 00145184 ____A (Sun Microsystems, Inc.) C:\Windows\System32\java.exe
2013-04-25 18:51 - 2013-04-25 18:51 - 00000000 ____D C:\Program Files\Java
2013-04-14 13:11 - 2012-10-24 14:11 - 00000000 ____D C:\Program Files\NVIDIA Corporation
2013-04-14 13:09 - 2009-07-14 03:37 - 00000000 ____D C:\Windows\System32\DriverStore
2013-04-12 14:45 - 2013-04-24 14:08 - 01211752 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ntfs.sys
2013-04-12 11:56 - 2009-10-14 03:21 - 70490256 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe

Other Malware:
===========
C:\Users\pepi\AppData\Roaming\skype.dat
C:\Users\pepi\AppData\Roaming\skype.ini
C:\ProgramData\ezsidmv.dat

==================== Known DLLs (Whitelisted) ============

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe => MD5 is legit
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

Restore point made on: 2013-05-10 07:12:04

==================== Memory info ===========================

Percentage of memory in use: 11%
Total physical RAM: 4095.24 MB
Available physical RAM: 3607.54 MB
Total Pagefile: 4093.52 MB
Available Pagefile: 3612.68 MB
Total Virtual: 2047.88 MB
Available Virtual: 1962.3 MB

==================== Drives ================================

Drive c: () (Fixed) (Total:38.96 GB) (Free:4.43 GB) NTFS
Drive d: (PRIVAT) (Fixed) (Total:19.52 GB) (Free:9.96 GB) FAT32
Drive e: (MISC) (Fixed) (Total:19.52 GB) (Free:5.02 GB) FAT32
Drive f: (MUSIK) (Fixed) (Total:108.15 GB) (Free:71.31 GB) FAT32
Drive n: (USB DISK) (Removable) (Total:3.73 GB) (Free:3.73 GB) FAT32
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (System-reserviert) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

==================== MBR & Partition Table ==================

========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 186 GB) (Disk ID: 0F530F53)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=39 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=147 GB) - (Type=OF Extended)

========================================================
Disk: 6 (MBR Code: Windows XP) (Size: 4 GB) (Disk ID: C3072E18)
Partition 1: (Active) - (Size=4 GB) - (Type=0C)

Last Boot: 2013-04-26 18:57

==================== End Of Log ============================

aharonov · 10.05.2013, 14:28

Hallo Frank,

kannst du nach folgendem Fix wieder ohne Sperrbildschirm in den normalen Modus starten?

Schritt 1

Drücke auf einem Zweitrechner bitte die

+ R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument:

Code:

ATTFilter

HKU\pepi\...\Winlogon: [Shell] explorer.exe,C:\Users\pepi\AppData\Roaming\skype.dat <==== ATTENTION 
C:\Users\pepi\AppData\Roaming\skype.dat
2013-05-10 08:40 - 2013-05-10 09:37 - 00000004 ____A C:\Users\pepi\AppData\Roaming\skype.ini

Speichere dieses dann bitte unter dem Dateinamen Fixlist.txt auf deinen USB Stick neben FRST.

Schliesse den USB Stick wieder an den infizierten Rechner an.
Starte deinen Rechner erneut in die Reparaturoptionen.
Starte nun wiederum FRST, aber klicke dieses Mal auf den Fix Button.

Das Tool erstellt eine Datei Fixlog.txt auf deinem USB Stick. Poste deren Inhalt bitte hier.

Bitte poste in deiner nächsten Antwort:

Fixlog von FRST

Franksch · 11.05.2013, 06:37

hiho,
ich verneige ehrfürchtig mein haupt und danke dir viele tausende male!!

es funktioniert wieder alles!!!

hier die gewünschte fixlog:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 08-05-2013
Ran by SYSTEM at 2013-05-11 07:23:21 Run:1
Running from M:\
Boot Mode: Recovery

==============================================

HKEY_USERS\pepi\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
C:\Users\pepi\AppData\Roaming\skype.dat => Moved successfully.
C:\Users\pepi\AppData\Roaming\skype.ini => Moved successfully.

==== End of Fixlog ====

nochmals vielen vielen dank!!!!
LG
Frank

aharonov · 11.05.2013, 12:52

Kontrollieren wir noch, ob auch sonst alles in Ordnung ist.

Schritt 1

Downloade dir bitte defogger (von jpshortstuff) auf deinen Desktop.

Starte das Tool mit Doppelklick.
Klicke nun auf den Disable Button.
Bestätige diese Sicherheitsabfrage mit Ja.
Wenn der Scan beendet wurde (Finished), klicke auf OK.
Falls Defogger zu einem Neustart auffordert, bestätige dies mit OK.
Defogger erstellt auf dem Desktop eine Logdatei mit dem Namen defogger_disable.txt.
Nur falls Probleme aufgetreten sind, poste deren Inhalt mit deiner nächsten Antwort.

Klicke den Re-enable Button nicht ohne Anweisung!

Schritt 2

Bitte lade dir

GMER herunter: (Dateiname zufällig)

Schließe alle anderen Programme, deaktiviere deinen Virenscanner und trenne den Rechner vom Internet bevor du GMER startest.
Sollte sich nach dem Start ein Fenster mit folgender Warnung öffnen:
WARNING !!!
GMER has found system modification, which might have been caused by ROOTKIT activity.
Do you want to fully scan your system ?

Unbedingt auf "No" klicken.
Entferne rechts den Haken bei: IAT/EAT und Show All
Setze den Haken bei Quickscan und entferne ihn bei allen anderen Laufwerken.
Starte den Scan mit "Scan".
Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf Save und speichere die Logfile unter Gmer.txt auf deinem Desktop. Mit "Ok" wird GMER beendet.

Antiviren-Programm und sonstige Scanner wieder einschalten, bevor Du ins Netz gehst!

Tauchen Probleme auf?

Probiere alternativ den abgesicherten Modus.
Erhältst du einen Bluescreen, dann entferne den Haken vor Devices.

Schritt 3

Lade dir bitte OTL (von Oldtimer) herunter und speichere es auf deinen Desktop.

Doppelklick auf die OTL.exe.
Unter Extra Registry, wähle bitte Use SafeList.
Setze den Haken bei Scan all Users.
Klicke nun auf Run Scan.
Wenn der Scan beendet ist, werden 2 Logfiles (OTL.txt und Extras.txt) erstellt.
Poste den Inhalt dieser Logfiles hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von Gmer
Logs von OTL

aharonov · 15.05.2013, 23:48

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

Franksch · 16.05.2013, 20:08

huhu,
leider bin ich momentan beruflich recht eingespannt und hatte daher nicht wirklich die zeit um an den rechner zu gehen.
bitte lösche das thema nicht aus deinen abos.ich werde die programme am wochenende runterladen und ausführen.
heut krieg ich das nicht mehr auf die reihe

mein bett ruft und um halb vier ist die nacht schon wieder um!

LG
Frank

aharonov · 16.05.2013, 20:12

Hallo Frank,

das ist gar kein Problem, danke für die Mitteilung.

Franksch · 16.05.2013, 20:17

die antwort wollte ich noch abwarten

nun bin ich aber weg;
angenehme nachtruhe!
ich melde mich am wochenende wenn ich mit der anleitung durch bin.
bis danndann

aharonov · 16.05.2013, 20:40

Alles klar, bis dann.

Franksch · 19.05.2013, 15:57

hiho,
die gmer-log hat 425000 zeichen uns ist somit zu lang.
ich versuche mal die anderen zu posten:OTL EXTRAS Logfile:

Code:

ATTFilter

OTL Extras logfile created on: 19.05.2013 16:41:20 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\pepi\Desktop
 Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,28 Gb Available Physical Memory | 70,24% Memory free
6,50 Gb Paging File | 5,58 Gb Available in Paging File | 85,87% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 38,96 Gb Total Space | 4,07 Gb Free Space | 10,44% Space Free | Partition Type: NTFS
Drive E: | 19,52 Gb Total Space | 9,96 Gb Free Space | 50,99% Space Free | Partition Type: FAT32
Drive F: | 19,52 Gb Total Space | 5,02 Gb Free Space | 25,70% Space Free | Partition Type: FAT32
Drive G: | 108,15 Gb Total Space | 71,31 Gb Free Space | 65,94% Space Free | Partition Type: FAT32
 
Computer Name: PEPI-PC | User Name: pepi | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Extra Registry (SafeList) ==========
 
 
========== File Associations ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<extension>]
.cpl [@ = cplfile] -- C:\Windows\System32\control.exe (Microsoft Corporation)
.hlp [@ = hlpfile] -- C:\Windows\winhlp32.exe (Microsoft Corporation)
 
[HKEY_USERS\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Classes\<extension>]
.html [@ = ChromeHTML] -- C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.)
 
========== Shell Spawning ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\<key>\shell\[command]\command]
batfile [open] -- "%1" %*
cmdfile [open] -- "%1" %*
comfile [open] -- "%1" %*
cplfile [cplopen] -- %SystemRoot%\System32\control.exe "%1",%* (Microsoft Corporation)
exefile [open] -- "%1" %*
helpfile [open] -- Reg Error: Key error.
hlpfile [open] -- %SystemRoot%\winhlp32.exe %1 (Microsoft Corporation)
inffile [install] -- %SystemRoot%\System32\InfDefaultInstall.exe "%1" (Microsoft Corporation)
piffile [open] -- "%1" %*
regfile [merge] -- Reg Error: Key error.
scrfile [config] -- "%1"
scrfile [install] -- rundll32.exe desk.cpl,InstallScreenSaver %l
scrfile [open] -- "%1" /S
txtfile [edit] -- Reg Error: Key error.
Unknown [openas] -- %SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1
Directory [cmd] -- cmd.exe /s /k pushd "%V" (Microsoft Corporation)
Directory [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Directory [FreemiumAnalyze] -- C:\Program Files\Covus Freemium\Free System Utilities\freemiumContext.exe ANALYSE %1 (Microsoft)
Directory [FreemiumFindEmptyFolders] -- C:\Program Files\Covus Freemium\Free System Utilities\freemiumContext.exe EMPTYFOLDERS %1 (Microsoft)
Folder [open] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
Folder [explore] -- Reg Error: Value error.
Drive [find] -- %SystemRoot%\Explorer.exe (Microsoft Corporation)
 
========== Security Center Settings ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"cval" = 1
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
"VistaSp1" = Reg Error: Unknown registry data type -- File not found
"AntiVirusOverride" = 0
"AntiSpywareOverride" = 0
"FirewallOverride" = 0
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]
 
========== Firewall Settings ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"DisableNotifications" = 0
"EnableFirewall" = 1
 
========== Authorized Applications List ==========
 
 
========== Vista Active Open Ports Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{1C43FCC0-2CFB-452A-AFFB-6AE105A67C5F}" = rport=2177 | protocol=6 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{20F445B2-34E8-4436-BA7F-B59D224D4DFB}" = lport=2177 | protocol=6 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{210BCF02-6C40-4D23-8B63-E8A234EA05FD}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{2FF61DE3-B00D-40DF-9728-CA3CAE304F62}" = lport=137 | protocol=17 | dir=in | app=system | 
"{3ABA5939-35CA-4BCD-9C39-CF597EAEDAFB}" = rport=445 | protocol=6 | dir=out | app=system | 
"{3B15547D-24E2-4E94-806B-A80492D0E839}" = rport=5355 | protocol=17 | dir=out | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{4E36C614-CCEB-48F2-A9BC-D4F45BC12442}" = lport=445 | protocol=6 | dir=in | app=system | 
"{59D84854-BFD5-461D-B0DE-6EDD1B85E2B3}" = lport=138 | protocol=17 | dir=in | app=system | 
"{5A3A0B34-FB59-4592-BB32-E861DAE94C55}" = lport=1900 | protocol=17 | dir=in | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{73746939-02AF-425A-BD57-9315C24EAE4C}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{7651D438-D025-4893-A9DE-BF13D23CD930}" = rport=138 | protocol=17 | dir=out | app=system | 
"{7BAF56F3-AC60-4A40-9129-56BB50979004}" = rport=10243 | protocol=6 | dir=out | app=system | 
"{8B808FC3-6BF0-4AEC-876E-71D9AA0A8585}" = rport=2177 | protocol=17 | dir=out | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{9CAFEBF6-4752-44A2-887D-7145EF5757A7}" = rport=139 | protocol=6 | dir=out | app=system | 
"{B588B252-0FE0-443A-B8F9-81ABAB909B73}" = lport=rpc-epmap | protocol=6 | dir=in | svc=rpcss | name=@firewallapi.dll,-28539 | 
"{BAF17DB0-5EC4-4723-ABD2-B87485CBAF99}" = lport=rpc | protocol=6 | dir=in | svc=spooler | app=%systemroot%\system32\spoolsv.exe | 
"{C1BE1E92-8342-4F70-A505-BA1A94A5DB01}" = lport=5355 | protocol=17 | dir=in | svc=dnscache | app=%systemroot%\system32\svchost.exe | 
"{CC49ED77-60B0-42B2-9E0D-64C51B25816C}" = rport=137 | protocol=17 | dir=out | app=system | 
"{DBEEA97D-5DAD-4235-BF8B-B378779E21B9}" = rport=1900 | protocol=17 | dir=out | svc=ssdpsrv | app=%systemroot%\system32\svchost.exe | 
"{DBF4F859-9D4E-448E-A22D-E2D50782190D}" = lport=2177 | protocol=17 | dir=in | svc=qwave | app=%systemroot%\system32\svchost.exe | 
"{DDC26C06-DB17-45C9-A170-9C2E792FDC94}" = lport=10243 | protocol=6 | dir=in | app=system | 
"{DF55CB12-3A91-475F-88CC-4E671C3A156D}" = lport=2869 | protocol=6 | dir=in | app=system | 
"{E6C8D924-9B25-46A7-907A-1BBA0E3FF027}" = lport=139 | protocol=6 | dir=in | app=system | 
 
========== Vista Active Application Exception List ==========
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{017827D1-432F-4486-8A07-EA304A27C220}" = protocol=6 | dir=out | app=system | 
"{0590CBAF-51D4-4966-8FED-2207057B6E4A}" = dir=out | app=c:\program files\protected search\protectedsearch.exe | 
"{0D4297D3-49FB-4D81-B353-9292FC74FD04}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{1F089CEB-9738-478B-9E12-22E18E7D2858}" = dir=out | app=c:\program files\hometab\tbupdater.dll | 
"{241FAE50-8EF3-4417-99AB-D3DDC647609E}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{290B2D35-0958-418A-8459-8E1E819E4AF4}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{3516873F-C5B5-47CB-8E22-5A2976638882}" = protocol=1 | dir=in | name=@firewallapi.dll,-28543 | 
"{38428AD1-6F5B-498B-AFBD-6E002FC9C55A}" = protocol=17 | dir=in | app=c:\program files\icq7m\icq.exe | 
"{3CC105A0-825A-4538-A43C-7E132D0059B9}" = dir=in | app=c:\program files\hometab\tbupdater.dll | 
"{513A3C99-9627-4471-B775-48E60B4E66CC}" = protocol=6 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"{5287A37E-2DFB-40E4-AFC1-1DA27D40C5FD}" = dir=in | app=c:\program files\protected search\protectedsearch.exe | 
"{561B753F-2683-48BA-AA12-9DC48CB1DFE7}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{637098E0-D01B-421E-9566-F14AC8E3A458}" = protocol=58 | dir=in | name=@firewallapi.dll,-28545 | 
"{6B585AA5-B8A6-45DF-B72D-9A5C6C7A36CE}" = dir=in | app=c:\program files\hometab\tbupdater.dll | 
"{7517BAD6-E9AC-4373-A326-4038DDEECB03}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{78104B4C-5FD5-452F-BEAB-1544C8D8C722}" = dir=out | app=c:\program files\hometab\tbupdater.dll | 
"{87B526E2-E063-4EDF-AF5B-931D9624F155}" = dir=in | app=c:\program files\itunes\itunes.exe | 
"{8DD61C37-38CF-48F9-8016-85405FD42334}" = protocol=58 | dir=out | name=@firewallapi.dll,-28546 | 
"{93010CD2-6160-4F7D-9211-E63E81B08B35}" = dir=in | app=c:\program files\iminent\iminent.messengers.exe | 
"{94585536-9916-468C-B2D1-15E2A4D7D0A9}" = protocol=17 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{A4B7C016-4235-45AC-A2F6-2B544D8121F0}" = protocol=1 | dir=out | name=@firewallapi.dll,-28544 | 
"{A595441A-3CBA-4A75-B803-F5DC449BD3F2}" = protocol=17 | dir=in | app=c:\program files\bonjour\mdnsresponder.exe | 
"{BDA9291D-49E4-42A2-85E5-FC51DAFD1CE3}" = protocol=17 | dir=in | app=%programfiles%\windows media player\wmplayer.exe | 
"{D16582B8-2ED1-416F-AC27-0D3BAE7909BB}" = dir=in | app=c:\program files\iminent\iminent.exe | 
"{D1D72EBB-1975-41C6-AD6B-2830FE22E6EF}" = protocol=6 | dir=in | app=c:\program files\icq7m\icq.exe | 
"{E267F3ED-1D6E-41C2-AE57-1447EE7373AE}" = dir=in | app=c:\program files\common files\apple\apple application support\webkit2webprocess.exe | 
"{EC85003F-8DBF-4CE4-B1E8-246EC1446063}" = protocol=17 | dir=in | app=c:\program files\icq7m\icq.exe | 
"{EF1D2632-17EA-4DB4-8E6A-4D513A4F4530}" = protocol=6 | dir=out | svc=upnphost | app=%systemroot%\system32\svchost.exe | 
"{F4084660-8D2B-4396-9119-FB2EB5A45CB5}" = protocol=6 | dir=in | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{F5940C60-1C13-4404-8B92-64585DA369C6}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmplayer.exe | 
"{FAD46094-922A-4A09-A29C-81DE15F85B2D}" = protocol=6 | dir=out | app=%programfiles%\windows media player\wmpnetwk.exe | 
"{FEFFFB97-F9B2-4AA7-A7AD-05C6D2A21DD1}" = protocol=6 | dir=in | app=c:\program files\icq7m\icq.exe | 
"TCP Query User{26822200-BB62-4BE8-B5CC-01C933827692}C:\users\pepi\downloads\fogdownloader-rom_3_0_1_2153.exe" = protocol=6 | dir=in | app=c:\users\pepi\downloads\fogdownloader-rom_3_0_1_2153.exe | 
"TCP Query User{3FAC0120-414B-4A71-97B3-48664A8B389D}E:\runes of magic\launcher.exe" = protocol=6 | dir=in | app=e:\runes of magic\launcher.exe | 
"TCP Query User{41ED9516-41FC-4448-A147-8CF32540F764}E:\runes of magic\client.exe" = protocol=6 | dir=in | app=e:\runes of magic\client.exe | 
"TCP Query User{8AC90B0C-32AB-4B52-87B3-58146B02F503}E:\program files\runes of magic\launcher.exe" = protocol=6 | dir=in | app=e:\program files\runes of magic\launcher.exe | 
"TCP Query User{8B504A68-7D91-4CCF-8123-5E6E6985DDFE}E:\program files\runes of magic\client.exe" = protocol=6 | dir=in | app=e:\program files\runes of magic\client.exe | 
"TCP Query User{AA616BAF-590B-462B-8776-88EF288EBA72}C:\users\pepi\downloads\runes_of_magic_5_0_0_2535_full.exe" = protocol=6 | dir=in | app=c:\users\pepi\downloads\runes_of_magic_5_0_0_2535_full.exe | 
"TCP Query User{EFAC9E03-1E54-47B2-AE67-6F5B2DCCDFB4}G:\neuer ordner\lotroclient.exe" = protocol=6 | dir=in | app=g:\neuer ordner\lotroclient.exe | 
"UDP Query User{70BC3124-66F3-4346-A3AB-F85767014CDF}C:\users\pepi\downloads\fogdownloader-rom_3_0_1_2153.exe" = protocol=17 | dir=in | app=c:\users\pepi\downloads\fogdownloader-rom_3_0_1_2153.exe | 
"UDP Query User{98F3A002-AA0D-4833-BD25-1C5F5C3C77AF}C:\users\pepi\downloads\runes_of_magic_5_0_0_2535_full.exe" = protocol=17 | dir=in | app=c:\users\pepi\downloads\runes_of_magic_5_0_0_2535_full.exe | 
"UDP Query User{B0510665-E127-47C8-BDEA-9540AC200207}E:\program files\runes of magic\launcher.exe" = protocol=17 | dir=in | app=e:\program files\runes of magic\launcher.exe | 
"UDP Query User{B1E2391B-8EC1-4591-B880-F00EC654482E}E:\runes of magic\client.exe" = protocol=17 | dir=in | app=e:\runes of magic\client.exe | 
"UDP Query User{BBF8D8E2-BF64-46E5-89E7-186680AF819A}E:\runes of magic\launcher.exe" = protocol=17 | dir=in | app=e:\runes of magic\launcher.exe | 
"UDP Query User{D59E25E7-1247-4F0F-8E57-ED772CED88B4}G:\neuer ordner\lotroclient.exe" = protocol=17 | dir=in | app=g:\neuer ordner\lotroclient.exe | 
"UDP Query User{F29C29DA-C5C1-42E3-AD14-F29292A52451}E:\program files\runes of magic\client.exe" = protocol=17 | dir=in | app=e:\program files\runes of magic\client.exe | 
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{18455581-E099-4BA8-BC6B-F34B2F06600C}" = Google Toolbar for Internet Explorer
"{1F1C2DFC-2D24-3E06-BCB8-725134ADF989}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
"{2318C2B1-4965-11d4-9B18-009027A5CD4F}" = Google Toolbar for Internet Explorer
"{268278CF-FB69-4D98-B70E-BFEC1CDCA225}" = iTunes
"{26A24AE4-039D-4CA4-87B4-2F83216029FF}" = Java(TM) 6 Update 29
"{3C3901C5-3455-3E0A-A214-0B093A5070A6}" = Microsoft .NET Framework 4 Client Profile
"{45C56AA7-ED1B-4800-A97F-EDDF3F3520B1}" = Apple Application Support
"{4A03706F-666A-4037-7777-5F2748764D10}" = Java Auto Updater
"{4FFBB818-B13C-11E0-931D-B2664824019B}_is1" = Complitly
"{57D62939-0E6C-45FA-B3AB-DBB31DC21456}" = DAEMON Tools
"{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}" = Windows Media Player Firefox Plugin
"{710f4c1c-cc18-4c49-8cbf-51240c89a1a2}" = Microsoft Visual C++ 2005 Redistributable
"{716E0306-8318-4364-8B8F-0CC4E9376BAC}" = MSXML 4.0 SP2 Parser und SDK
"{781B39EC-2E18-41FC-9B00-B84E4FFCA85F}" = ICQ7M
"{789A5B64-9DD9-4BA5-915A-F0FC0A1B7BFE}" = Apple Software Update
"{79155F2B-9895-49D7-8612-D92580E0DE5B}" = Bonjour
"{7E265513-8CDA-4631-B696-F40D983F3B07}_is1" = CDBurnerXP
"{7F1E694F-1880-4D5F-BD27-A0D0A5379864}" = Iminent
"{86D4B82A-ABED-442A-BE86-96357B70F4FE}" = Ask Toolbar
"{882fbe9a-2191-41cc-90bb-b4c14bed3685}" = Free System Utilities
"{8B562F87-8385-4B95-A8C2-13C008872D6C}" = Microsoft SQL Server Management Objects Collection 
"{90120000-0020-0409-0000-0000000FF1CE}" = Compatibility Pack for the 2007 Office system
"{90850407-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003
"{90850409-6000-11D3-8CFE-0150048383C9}" = Microsoft Office Word Viewer 2003
"{95120000-003F-0409-0000-0000000FF1CE}" = Microsoft Office Excel Viewer
"{95140000-00AF-0409-0000-0000000FF1CE}" = Microsoft PowerPoint Viewer
"{9A25302D-30C0-39D9-BD6F-21E6EC160475}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
"{A278382D-4F1B-4D47-9885-8523F7261E8D}_is1" = PDF-Viewer
"{A2F166A0-F031-4E27-A057-C69733219434}_is1" = Runes of Magic
"{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}" = Google Update Helper
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.3DVision" = NVIDIA 3D Vision Treiber 311.06
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.ControlPanel" = NVIDIA Systemsteuerung 311.06
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Driver" = NVIDIA Grafiktreiber 311.06
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_Display.Update" = NVIDIA Update 1.11.3
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_installer" = NVIDIA Install Application
"{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8}_NVIDIA.Update" = NVIDIA Update Components
"{BD68F46D-8A82-4664-8E68-F87C55BDEFD4}" = Microsoft SQL Server Native Client
"{c5eac06d-16a7-4836-866d-ebf3ecfdcdaa}_is1" = HomeTab 3.1
"{CB2F7EDD-9D1F-43C1-90FC-4F52EAE172A1}" = Microsoft .NET Framework 1.1
"{CE26F10F-C80F-4377-908B-1B7882AE2CE3}" = Crystal Reports Basic Runtime for Visual Studio 2008
"{E14ADE0E-75F3-4A46-87E5-26692DD626EC}" = Apple Mobile Device Support
"{F0C3E5D1-1ADE-321E-8167-68EF0DE699A5}" = Microsoft Visual C++ 2010  x86 Redistributable - 10.0.40219
"{F64E5B02-B448-4296-9732-BBB2D7E5B008}" = TortoiseSVN 1.7.0.22068 (32 bit)
"{F750C986-5310-3A5A-95F8-4EC71C8AC01C}" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"{FC352B5F-889F-4426-B9CC-C533BBE97345}" = Free SystemUtilities
"{FF66E9F6-83E7-3A3E-AF14-8DE9A809A6A4}" = Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Browser Updater_is1" = Browser Updater 1.1
"CCleaner" = CCleaner
"EASEUS Partition Master Home Edition_is1" = EASEUS Partition Master 9.1.0 Home Edition
"Google Chrome" = Google Chrome
"IMBoosterARP" = Iminent
"Microsoft .NET Framework 1.1  (1033)" = Microsoft .NET Framework 1.1
"Microsoft .NET Framework 4 Client Profile" = Microsoft .NET Framework 4 Client Profile
"Microsoft .NET Framework 4 Client Profile DEU Language Pack" = Microsoft .NET Framework 4 Client Profile DEU Language Pack
"NVIDIA Drivers" = NVIDIA Drivers
"NVIDIAStereo" = NVIDIA Stereoscopic 3D Driver
"Protected Search_is1" = Protected Search 1.1
"TeamSpeak 3 Client" = TeamSpeak 3 Client
"XpertVision_is1" = XpertVision 6.4
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{79A765E1-C399-405B-85AF-466F52E918B0}" = Tracker Toolbar Updater
 
========== Last 20 Event Log Errors ==========
 
[ Application Events ]
Error - 10.05.2013 03:47:14 | Computer Name = pepi-PC | Source = Microsoft-Windows-User Profiles Service | ID = 1542
Description = Die Klassenregistrierungsdatei kann nicht geladen werden.   DETAIL -
 Das System kann die angegebene Datei nicht finden.  
 
Error - 10.05.2013 03:56:57 | Computer Name = pepi-PC | Source = Microsoft-Windows-User Profiles Service | ID = 1542
Description = Die Klassenregistrierungsdatei kann nicht geladen werden.   DETAIL -
 Das System kann die angegebene Datei nicht finden.  
 
Error - 10.05.2013 04:24:50 | Computer Name = pepi-PC | Source = Microsoft-Windows-User Profiles Service | ID = 1542
Description = Die Klassenregistrierungsdatei kann nicht geladen werden.   DETAIL -
 Das System kann die angegebene Datei nicht finden.  
 
Error - 11.05.2013 01:29:41 | Computer Name = pepi-PC | Source = Microsoft-Windows-User Profiles Service | ID = 1542
Description = Die Klassenregistrierungsdatei kann nicht geladen werden.   DETAIL -
 Das System kann die angegebene Datei nicht finden.  
 
Error - 11.05.2013 12:04:11 | Computer Name = pepi-PC | Source = Application Error | ID = 1000
Error - 12.05.2013 03:34:15 | Computer Name = pepi-PC | Source = Microsoft-Windows-User
 Profiles Service | ID = 1542
 
Description = Die Klassenregistrierungsdatei kann nicht geladen werden.
 DETAIL - Das System kann die angegebene Datei nicht finden.

Error - 12.05.2013 07:30:52 | Computer Name = pepi-PC | Source = Application Error
 | ID = 1000
 
Description = Name der fehlerhaften Anwendung: iexplore.exe, Version: 9.0.8112.16476, Zeitstempel: 0x5126e7ac
Name des fehlerhaften Moduls: Complitly.dll_unloaded, Version: 0.0.0.0, Zeitstempel: 0x512cca46
Ausnahmecode: 0xc0000005
Fehleroffset: 0x680c78f0
ID des fehlerhaften Prozesses: 0xa60
Startzeit der fehlerhaften Anwendung: 0x01ce4f041a9307f0
Pfad der fehlerhaften Anwendung: C:\Program Files\Internet Explorer\iexplore.exe
Pfad des fehlerhaften Moduls: Complitly.dll
Berichtskennung: 665b8ae0-baf7-11e2-b380-001e90f1cdaf
Error - 13.05.2013 09:12:06 | Computer Name = pepi-PC | Source = Microsoft-Windows-User
 Profiles Service | ID = 1542
 
Description = Die Klassenregistrierungsdatei kann nicht geladen werden.
 DETAIL - Das System kann die angegebene Datei nicht finden.

Error - 16.05.2013 14:26:39 | Computer Name = pepi-PC | Source = Microsoft-Windows-User
 Profiles Service | ID = 1542
 
Description = Die Klassenregistrierungsdatei kann nicht geladen werden.
 DETAIL - Das System kann die angegebene Datei nicht finden.

Error - 16.05.2013 14:38:16 | Computer Name = pepi-PC | Source = Microsoft-Windows-User
 Profiles Service | ID = 1542
 
Description = Die Klassenregistrierungsdatei kann nicht geladen werden.
 DETAIL - Das System kann die angegebene Datei nicht finden.

Error - 19.05.2013 10:03:17 | Computer Name = pepi-PC | Source = Microsoft-Windows-User
 Profiles Service | ID = 1542
 
Description = Die Klassenregistrierungsdatei kann nicht geladen werden.
 DETAIL - Das System kann die angegebene Datei nicht finden.

 
Error encountered while reading event logs.
 
< End of report >

--- --- ---

OTL Logfile:

Code:

ATTFilter

OTL logfile created on: 19.05.2013 16:41:20 - Run 2
OTL by OldTimer - Version 3.2.69.0     Folder = C:\Users\pepi\Desktop
 Ultimate Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation
Internet Explorer (Version = 9.0.8112.16421)
Locale: 00000407 | Country: Deutschland | Language: DEU | Date Format: dd.MM.yyyy
 
3,25 Gb Total Physical Memory | 2,28 Gb Available Physical Memory | 70,24% Memory free
6,50 Gb Paging File | 5,58 Gb Available in Paging File | 85,87% Paging File free
Paging file location(s): ?:\pagefile.sys [binary data]
 
%SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files
Drive C: | 38,96 Gb Total Space | 4,07 Gb Free Space | 10,44% Space Free | Partition Type: NTFS
Drive E: | 19,52 Gb Total Space | 9,96 Gb Free Space | 50,99% Space Free | Partition Type: FAT32
Drive F: | 19,52 Gb Total Space | 5,02 Gb Free Space | 25,70% Space Free | Partition Type: FAT32
Drive G: | 108,15 Gb Total Space | 71,31 Gb Free Space | 65,94% Space Free | Partition Type: FAT32
 
Computer Name: PEPI-PC | User Name: pepi | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
 
========== Processes (SafeList) ==========
 
PRC - [2013.05.16 21:09:07 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\pepi\Desktop\OTL.exe
PRC - [2013.03.19 11:37:02 | 000,056,904 | ---- | M] (Simplygen) -- C:\Program Files\Protected Search\ProtectedSearch.exe
PRC - [2013.02.26 00:22:34 | 001,260,320 | ---- | M] (NVIDIA Corporation) -- C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
PRC - [2013.01.18 16:21:02 | 000,873,248 | ---- | M] (NVIDIA Corporation) -- C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
PRC - [2013.01.18 16:21:00 | 001,821,984 | ---- | M] (NVIDIA Corporation) -- C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
PRC - [2013.01.18 08:14:20 | 000,383,264 | ---- | M] (NVIDIA Corporation) -- C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
PRC - [2012.11.23 04:48:41 | 000,049,152 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\taskhost.exe
PRC - [2011.10.10 21:52:32 | 000,273,176 | ---- | M] (hxxp://tortoisesvn.net) -- C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
PRC - [2011.02.25 07:30:54 | 002,616,320 | ---- | M] (Microsoft Corporation) -- C:\Windows\explorer.exe
 
 
========== Modules (No Company Name) ==========
 
MOD - [2013.01.10 18:16:03 | 001,051,136 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Management\302207b4fa3083899fd8ab4db98cecc5\System.Management.ni.dll
MOD - [2013.01.10 15:20:49 | 000,628,224 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.EnterpriseSe#\01c6cb58745f397c9b7ccf3ab7bfc9cd\System.EnterpriseServices.ni.dll
MOD - [2013.01.10 15:20:49 | 000,627,200 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Transactions\536d704e93ffec9b54e4a0312fb5b996\System.Transactions.ni.dll
MOD - [2013.01.10 15:20:48 | 006,611,456 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Data\dd20416f723ee13ffb4173ec1afc4ec4\System.Data.ni.dll
MOD - [2013.01.10 15:20:12 | 001,592,832 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Drawing\eead6629e384a5b69f9ae35284b7eeed\System.Drawing.ni.dll
MOD - [2013.01.10 15:20:09 | 000,025,600 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\Accessibility\d908c91e24616e6b8d38c9da61038b25\Accessibility.ni.dll
MOD - [2013.01.10 15:19:49 | 005,453,312 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\f687c43e9fdec031988b33ae722c4613\System.Xml.ni.dll
MOD - [2013.01.10 15:19:44 | 007,989,760 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\System\369f8bdca364e2b4936d18dea582912c\System.ni.dll
MOD - [2013.01.10 15:19:30 | 011,493,376 | ---- | M] () -- C:\Windows\assembly\NativeImages_v2.0.50727_32\mscorlib\7150b9136fad5b79e88f6c7f9d3d2c39\mscorlib.ni.dll
MOD - [2012.12.12 07:32:26 | 005,025,792 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\System.Windows.Forms\2.0.0.0__b77a5c561934e089\System.Windows.Forms.dll
MOD - [2011.10.10 21:52:14 | 000,070,424 | ---- | M] () -- C:\Program Files\TortoiseSVN\bin\libsasl32.dll
MOD - [2011.09.13 13:53:10 | 000,904,704 | ---- | M] () -- C:\Program Files\Protected Search\System.Data.SQLite.dll
MOD - [2010.11.05 03:58:05 | 002,927,616 | ---- | M] () -- C:\Windows\assembly\GAC_32\System.Data\2.0.0.0__b77a5c561934e089\System.Data.dll
MOD - [2010.11.05 03:58:04 | 000,425,984 | ---- | M] () -- C:\Windows\assembly\GAC_MSIL\System.Configuration\2.0.0.0__b03f5f7f11d50a3a\System.Configuration.dll
MOD - [2009.06.10 23:23:19 | 000,261,632 | ---- | M] () -- C:\Windows\assembly\GAC_32\System.Transactions\2.0.0.0__b77a5c561934e089\System.Transactions.dll
 
 
========== Services (SafeList) ==========
 
SRV - File not found [Auto | Stopped] -- C:\Windows\TEMP\AVSETUP_517cd530\avupgsvc.exe /TEMPSTART:C:\Windows\TEMP\AVSETUP_517cd530\setup.exe /NOTEMPCLEANUP /CROSSUPGRADE -- (AviraUpgradeService)
SRV - [2013.04.30 17:03:05 | 000,296,448 | ---- | M] () [Auto | Stopped] -- C:\Program Files\SoftwareUpdater\SystemStore.exe -- (SystemStoreService)
SRV - [2013.04.24 11:08:32 | 002,795,048 | ---- | M] (Iminent) [Disabled | Stopped] -- C:\Program Files\Common Files\Umbrella\Umbrella.exe -- (SProtection)
SRV - [2013.02.26 00:22:34 | 001,260,320 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe -- (nvUpdatusService)
SRV - [2013.01.18 08:14:20 | 000,383,264 | ---- | M] (NVIDIA Corporation) [Auto | Running] -- C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe -- (Stereo Service)
SRV - [2010.12.07 22:18:00 | 003,979,632 | ---- | M] (INCA Internet Co., Ltd.) [On_Demand | Stopped] -- C:\Windows\System32\GameMon.des -- (npggsvc)
SRV - [2009.07.14 03:16:13 | 000,025,088 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\sensrsvc.dll -- (SensrSvc)
SRV - [2009.07.14 03:16:12 | 001,004,544 | ---- | M] (Microsoft Corporation) [On_Demand | Stopped] -- C:\Windows\System32\PeerDistSvc.dll -- (PeerDistSvc)
SRV - [2009.07.14 03:15:41 | 000,680,960 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Program Files\Windows Defender\MpSvc.dll -- (WinDefend)
 
 
========== Driver Services (SafeList) ==========
 
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\XDva401.sys -- (XDva401)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\rdvgkmd.sys -- (VGPU)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\tsusbhub.sys -- (tsusbhub)
DRV - File not found [Kernel | On_Demand | Stopped] -- System32\drivers\synth3dvsc.sys -- (Synth3dVsc)
DRV - File not found [File_System | On_Demand | Stopped] --  -- (StarOpen)
DRV - File not found [Kernel | Boot | Stopped] -- system32\DRIVERS\st320hg.sys -- (St320hg)
DRV - File not found [Kernel | On_Demand | Unknown] -- C:\Users\pepi\AppData\Local\Temp\kxldapod.sys -- (kxldapod)
DRV - File not found [Kernel | On_Demand | Stopped] -- F:\gPotato.eu\Dragonica\Release\GameGuard\dump_wmimmc.sys -- (dump_wmimmc)
DRV - [2013.02.26 00:22:06 | 008,939,296 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvlddmkm.sys -- (nvlddmkm)
DRV - [2011.07.29 14:54:56 | 000,014,216 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\epmntdrv.sys -- (epmntdrv)
DRV - [2011.07.29 14:54:56 | 000,008,456 | ---- | M] () [Kernel | On_Demand | Stopped] -- C:\Windows\System32\EuGdiDrv.sys -- (EuGdiDrv)
DRV - [2010.11.20 14:30:15 | 000,175,360 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmbus.sys -- (vmbus)
DRV - [2010.11.20 14:30:15 | 000,040,704 | ---- | M] (Microsoft Corporation) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\vmstorfl.sys -- (storflt)
DRV - [2010.11.20 14:30:15 | 000,028,032 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\storvsc.sys -- (storvsc)
DRV - [2010.11.20 12:24:41 | 000,052,224 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\TsUsbFlt.sys -- (TsUsbFlt)
DRV - [2010.11.20 12:21:14 | 000,015,872 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\rdpvideominiport.sys -- (RdpVideoMiniport)
DRV - [2010.11.20 11:59:44 | 000,035,968 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\winusb.sys -- (WinUsb)
DRV - [2010.11.20 11:14:45 | 000,017,920 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VMBusHID.sys -- (VMBusHID)
DRV - [2010.11.20 11:14:41 | 000,005,632 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\vms3cap.sys -- (s3cap)
DRV - [2010.02.05 15:06:19 | 000,691,696 | ---- | M] (Duplex Secure Ltd.) [Kernel | Disabled | Stopped] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2009.12.06 12:24:21 | 000,135,320 | ---- | M] (SysProgs.org) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\BazisVirtualCDBus.sys -- (BazisVirtualCDBus)
DRV - [2009.07.14 00:09:17 | 004,194,816 | ---- | M] (ATI Technologies Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\atikmdag.sys -- (atikmdag)
DRV - [2009.07.01 13:01:27 | 000,063,640 | ---- | M] (Bazis) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\VirtDiskBus.sys -- (VirtDiskBus)
DRV - [2009.07.01 13:01:26 | 000,061,080 | ---- | M] (Bazis) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\BazisVirtualCD.sys -- (BazisVirtualCD)
DRV - [2008.01.29 07:55:00 | 001,042,464 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvmfdx32.sys -- (NVENETFD)
DRV - [2007.10.12 10:53:10 | 000,013,312 | ---- | M] (NVIDIA Corporation) [Kernel | On_Demand | Running] -- C:\Windows\System32\drivers\nvsmu.sys -- (nvsmu)
DRV - [2007.03.16 10:11:38 | 000,012,256 | ---- | M] (Windows (R) 2000 DDK provider) [Kernel | Auto | Running] -- C:\Windows\System32\drivers\TBPanel.sys -- (TBPanel)
DRV - [2005.05.18 17:50:30 | 002,319,680 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\ALCXWDM.SYS -- (ALCXWDM)
DRV - [2005.01.03 17:43:08 | 000,004,682 | ---- | M] (INCA Internet Co., Ltd.) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\npptNT2.sys -- (NPPTNT2)
DRV - [2002.08.13 22:27:00 | 000,074,338 | ---- | M] (3Com Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\System32\drivers\el90Xbc5.SYS -- (EL90Xbc)
 
 
========== Standard Registry (SafeList) ==========
 
 
========== Internet Explorer ==========
 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=43169&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&st=chrome&q=
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.certified-toolbar.com?si=43169&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&st=chrome&q=
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=43169&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&st=chrome&q=
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = about:newtab
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:newtab
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://search.certified-toolbar.com?si=43169&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&st=chrome&q=
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = hxxp://search.certified-toolbar.com?si=43169&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&st=chrome&q=
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = hxxp://search.certified-toolbar.com?si=43169&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&st=chrome&q=
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = about:newtab
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = about:newtab
IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.certified-toolbar.com?si=43169&st=bs&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&q={searchTerms}
 
 
IE - HKU\.DEFAULT\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
 
 
 
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.certified-toolbar.com?si=43169&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&st=chrome&q=
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.certified-toolbar.com?si=43169&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&st=chrome&q=
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.certified-toolbar.com?si=43169&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&st=chrome&q=
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Default_Page_URL = about:newtab
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:newtab
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://de.msn.com/?ocid=iehp
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache AcceptLangs = de
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = 8D 95 4F 1E 66 D9 CA 01  [binary data]
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = hxxp://search.certified-toolbar.com?si=43169&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&st=chrome&q=
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Search Bar = hxxp://search.certified-toolbar.com?si=43169&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&st=chrome&q=
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = hxxp://search.certified-toolbar.com?si=43169&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&st=chrome&q=
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Start Default_Page_URL = about:newtab
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Start Page = about:newtab
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\..\URLSearchHook:  - No CLSID value found
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://search.certified-toolbar.com?si=43169&st=bs&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&q={searchTerms}
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\..\SearchScopes\{6552C7DD-90A4-4387-B795-F8F96747DE19}: "URL" = hxxp://search.icq.com/search/results.php?q={searchTerms}&ch_id=osd
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\..\SearchScopes\{667A9CCB-8B66-4B2C-AED2-2F9ED0789814}: "URL" = hxxp://websearch.ask.com/redirect?client=ie&tb=TKR&o=15589&src=kw&q={searchTerms}&locale=de_DE&apn_ptnrs=^IY&apn_dtid=^YYYYYY^YY^DE&apn_uid=c08426fb-9a44-4596-9456-ac5b9c2b9644&apn_sauid=EBFB2689-3F4B-4FC1-9ED5-36D3A7633361
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = hxxp://search.certified-toolbar.com?si=43169&st=bs&tid=3580&ver=2.9&ts=1368288006902&tguid=43169-3580-1368288006902-46F88F82F157B82E117F5071E8C7B7F5&q={searchTerms}
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
 
 
 
========== FireFox ==========
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF32.dll ()
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files\iTunes\Mozilla Plugins\npitunes.dll ()
FF - HKLM\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
FF - HKLM\Software\MozillaPlugins\@java.com/JavaPlugin: C:\Program Files\Java\jre6\bin\new_plugin\npjp2.dll (Sun Microsystems, Inc.)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVision: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dv.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@nvidia.com/3DVisionStreaming: C:\Program Files\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll (NVIDIA Corporation)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Program Files\Google\Update\1.3.21.145\npGoogleUpdate3.dll (Google Inc.)
FF - HKLM\Software\MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
FF - HKCU\Software\MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf: C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll (Tracker Software Products (Canada) Ltd.)
 
 
[2010.07.20 17:18:43 | 000,000,000 | ---D | M] (No name found) -- C:\Users\pepi\AppData\Roaming\mozilla\Extensions
 
========== Chrome  ==========
 
CHR - Extension: No name found = C:\Users\pepi\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo\4.2.6_0\
CHR - Extension: No name found = C:\Users\pepi\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf\0.0.0.20_0\
CHR - Extension: No name found = C:\Users\pepi\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda\1.1_0\
CHR - Extension: No name found = C:\Users\pepi\AppData\Local\Google\Chrome\User Data\Default\Extensions\igdhbblpcellaljokkpfhcjlagemhgjl\6.19.4.1_0\
CHR - Extension: No name found = C:\Users\pepi\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia\7_1\
 
O1 HOSTS File: ([2009.06.10 23:39:37 | 000,000,824 | ---- | M]) - C:\Windows\System32\drivers\etc\hosts
O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Users\pepi\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)
O2 - BHO: (HomeTab) - {96edaac7-6183-4cb5-8823-b8b12d94f967} - C:\Users\pepi\AppData\Roaming\HomeTab\HomeTab.dll (Simplytech Ltd.)
O2 - BHO: (IMinent WebBooster (BHO)) - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} - C:\Program Files\Iminent\Iminent.WebBooster.InternetExplorer.dll (Iminent)
O2 - BHO: (Tracker Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKLM\..\Toolbar: (HomeTab) - {96edaac7-6183-4cb5-8823-b8b12d94f967} - C:\Users\pepi\AppData\Roaming\HomeTab\HomeTab.dll (Simplytech Ltd.)
O3 - HKLM\..\Toolbar: (Tracker Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {40C3CC16-7269-4B32-9531-17F2950FB06F} - No CLSID value found.
O3 - HKU\S-1-5-21-479234592-2086811900-668991277-1000\..\Toolbar\WebBrowser: (Tracker Toolbar) - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorAdmin = 5
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3
O9 - Extra Button: ICQ7M - {781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - C:\Program Files\ICQ7M\ICQ.exe (ICQ, LLC.)
O9 - Extra 'Tools' menuitem : ICQ7M - {781B39EC-2E18-41FC-9B00-B84E4FFCA85F} - C:\Program Files\ICQ7M\ICQ.exe (ICQ, LLC.)
O10 - NameSpace_Catalog5\Catalog_Entries\000000000007 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)
O13 - gopher Prefix: missing
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.2.1 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{0C9FEA8F-C327-4FA7-A028-763A18326945}: DhcpNameServer = 192.168.2.1 192.168.2.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{5B7A7EFB-77A8-4162-8901-A6F39B17529D}: DhcpNameServer = 192.168.2.1 192.168.2.1
O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\Windows\explorer.exe (Microsoft Corporation)
O20 - HKLM Winlogon: UserInit - (C:\Windows\system32\userinit.exe) - C:\Windows\System32\userinit.exe (Microsoft Corporation)
O20 - HKLM Winlogon: VMApplet - (SystemPropertiesPerformance.exe) - C:\Windows\System32\SystemPropertiesPerformance.exe (Microsoft Corporation)
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O32 - HKLM CDRom: AutoRun - 1
O32 - AutoRun File - [2009.06.10 23:42:20 | 000,000,024 | ---- | M] () - C:\autoexec.bat -- [ NTFS ]
O33 - MountPoints2\{2ff725b4-1251-11df-9074-00104bb26f3c}\Shell - "" = AutoRun
O33 - MountPoints2\{2ff725b4-1251-11df-9074-00104bb26f3c}\Shell\AutoRun\command - "" = Z:\setup.exe
O33 - MountPoints2\D\Shell - "" = AutoRun
O33 - MountPoints2\D\Shell\AutoRun\command - "" = D:\Setup.EXE
O34 - HKLM BootExecute: (autocheck autochk *)
O35 - HKLM\..comfile [open] -- "%1" %*
O35 - HKLM\..exefile [open] -- "%1" %*
O37 - HKLM\...com [@ = comfile] -- "%1" %*
O37 - HKLM\...exe [@ = exefile] -- "%1" %*
O38 - SubSystems\\Windows: (ServerDll=winsrv:UserServerDllInitialization,3)
O38 - SubSystems\\Windows: (ServerDll=winsrv:ConServerDllInitialization,2)
O38 - SubSystems\\Windows: (ServerDll=sxssrv,4)
 
========== Files/Folders - Created Within 30 Days ==========
 
[2013.05.16 21:27:08 | 000,607,744 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\msfeeds.dll
[2013.05.16 21:27:08 | 000,176,640 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieui.dll
[2013.05.16 21:27:08 | 000,142,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\ieUnatt.exe
[2013.05.16 21:27:08 | 000,065,024 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jsproxy.dll
[2013.05.16 21:27:07 | 001,800,704 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\jscript9.dll
[2013.05.16 21:27:07 | 000,231,936 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\url.dll
[2013.05.16 21:27:06 | 001,427,968 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\inetcpl.cpl
[2013.05.16 21:24:09 | 002,382,848 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2013.05.16 21:09:07 | 000,602,112 | ---- | C] (OldTimer Tools) -- C:\Users\pepi\Desktop\OTL.exe
[2013.05.16 20:54:14 | 000,000,000 | ---D | C] -- C:\Users\pepi\AppData\Local\ElevatedDiagnostics
[2013.05.16 20:47:13 | 000,103,680 | ---- | C] (GMER) -- C:\kxldapod.sys
[2013.05.16 20:33:14 | 000,040,960 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\wwanprotdim.dll
[2013.05.16 20:33:11 | 000,218,984 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\dxgmms1.sys
[2013.05.16 20:33:02 | 001,796,096 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\authui.dll
[2013.05.16 20:33:02 | 000,101,720 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\consent.exe
[2013.05.16 20:32:43 | 002,347,520 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\win32k.sys
[2013.05.10 11:50:29 | 000,000,000 | ---D | C] -- C:\FRST
[2013.04.28 10:43:33 | 000,000,000 | ---D | C] -- C:\Users\pepi\AppData\Local\Techlogix
[2013.04.28 10:00:32 | 000,000,000 | ---D | C] -- C:\Users\pepi\AppData\Local\Freemium
[2013.04.28 09:59:31 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Protected Search
[2013.04.28 09:59:29 | 000,000,000 | ---D | C] -- C:\Users\pepi\AppData\Roaming\SimplyTech
[2013.04.28 09:59:28 | 000,000,000 | ---D | C] -- C:\Program Files\Protected Search
[2013.04.28 09:59:28 | 000,000,000 | ---D | C] -- C:\Users\pepi\AppData\Roaming\HomeTab
[2013.04.28 09:59:28 | 000,000,000 | ---D | C] -- C:\Program Files\HomeTab
[2013.04.28 09:58:47 | 000,000,000 | ---D | C] -- C:\Users\pepi\AppData\Roaming\Iminent
[2013.04.28 09:58:28 | 000,000,000 | ---D | C] -- C:\Program Files\Browser Updater
[2013.04.28 09:58:22 | 000,000,000 | ---D | C] -- C:\ProgramData\Iminent
[2013.04.28 09:58:03 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Iminent
[2013.04.28 09:58:02 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Umbrella
[2013.04.28 09:58:02 | 000,000,000 | ---D | C] -- C:\Program Files\Iminent
[2013.04.28 09:54:46 | 000,000,000 | ---D | C] -- C:\Users\pepi\AppData\Roaming\Complitly
[2013.04.28 09:54:46 | 000,000,000 | ---D | C] -- C:\Program Files\Complitly
[2013.04.28 09:54:36 | 000,000,000 | ---D | C] -- C:\Program Files\SoftwareUpdater
[2013.04.28 09:54:36 | 000,000,000 | ---D | C] -- C:\ProgramData\FreeSystemUtilities
[2013.04.28 09:54:35 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Covus Freemium
[2013.04.28 09:54:35 | 000,000,000 | ---D | C] -- C:\Program Files\Covus Freemium
[2013.04.28 09:54:06 | 000,000,000 | ---D | C] -- C:\ProgramData\Package Cache
[2013.04.28 09:53:19 | 000,000,000 | ---D | C] -- C:\Users\pepi\AppData\Local\DownloadGuide
[2013.04.25 19:52:44 | 000,000,000 | ---D | C] -- C:\Users\pepi\4.0
[2013.04.25 19:52:43 | 000,000,000 | ---D | C] -- C:\Users\pepi\.tfo4
[2013.04.25 19:52:11 | 000,000,000 | ---D | C] -- C:\ProgramData\Sun
[2013.04.25 19:52:10 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Java
[2013.04.25 19:51:35 | 000,472,808 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\deployJava1.dll
[2013.04.25 19:51:35 | 000,157,472 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2013.04.25 19:51:35 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2013.04.25 19:51:35 | 000,145,184 | ---- | C] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
[2013.04.25 19:51:15 | 000,000,000 | ---D | C] -- C:\Program Files\Java
 
========== Files - Modified Within 30 Days ==========
 
[2013.05.19 16:19:10 | 000,001,094 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineUA.job
[2013.05.19 16:06:49 | 000,017,264 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
[2013.05.19 16:06:49 | 000,017,264 | -H-- | M] () -- C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
[2013.05.19 16:01:27 | 000,001,090 | ---- | M] () -- C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
[2013.05.19 16:01:03 | 000,268,272 | ---- | M] () -- C:\Windows\System32\FNTCACHE.DAT
[2013.05.19 16:00:52 | 000,067,584 | --S- | M] () -- C:\Windows\bootstat.dat
[2013.05.19 15:59:44 | 2616,647,680 | -HS- | M] () -- C:\hiberfil.sys
[2013.05.16 21:25:28 | 000,664,618 | ---- | M] () -- C:\Windows\System32\perfh007.dat
[2013.05.16 21:25:28 | 000,624,800 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2013.05.16 21:25:28 | 000,134,786 | ---- | M] () -- C:\Windows\System32\perfc007.dat
[2013.05.16 21:25:28 | 000,110,438 | ---- | M] () -- C:\Windows\System32\perfc009.dat
[2013.05.16 21:09:07 | 000,602,112 | ---- | M] (OldTimer Tools) -- C:\Users\pepi\Desktop\OTL.exe
[2013.05.16 20:47:13 | 000,103,680 | ---- | M] (GMER) -- C:\kxldapod.sys
[2013.05.16 20:44:16 | 000,377,856 | ---- | M] () -- C:\Users\pepi\Desktop\gmer_2.1.19163.exe
[2013.05.16 20:33:46 | 000,000,020 | ---- | M] () -- C:\Users\pepi\defogger_reenable
[2013.05.16 20:31:50 | 000,050,477 | ---- | M] () -- C:\Users\pepi\Desktop\Defogger.exe
[2013.05.13 05:52:48 | 000,023,624 | ---- | M] () -- C:\Windows\Launcher.exe
[2013.05.05 21:12:55 | 002,382,848 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\mshtml.tlb
[2013.05.02 02:06:08 | 000,238,872 | ---- | M] (Microsoft Corporation) -- C:\Windows\System32\MpSigStub.exe
[2013.04.28 09:58:26 | 000,000,611 | ---- | M] () -- C:\Windows\System32\InstallUtil.InstallLog
[2013.04.28 09:54:37 | 000,002,551 | ---- | M] () -- C:\Users\Public\Desktop\Free System Utilities.lnk
[2013.04.28 09:53:30 | 000,000,207 | ---- | M] () -- C:\Users\pepi\Desktop\Amazon.url
[2013.04.26 21:05:10 | 000,001,908 | ---- | M] () -- C:\Users\pepi\Desktop\bewerbungcsi.rtf
[2013.04.26 21:04:30 | 000,003,214 | ---- | M] () -- C:\Users\pepi\Desktop\bewerbungcsi.odt
[2013.04.25 19:51:17 | 000,472,808 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\deployJava1.dll
[2013.04.25 19:51:17 | 000,157,472 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaws.exe
[2013.04.25 19:51:17 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\javaw.exe
[2013.04.25 19:51:17 | 000,145,184 | ---- | M] (Sun Microsystems, Inc.) -- C:\Windows\System32\java.exe
 
========== Files Created - No Company Name ==========
 
[2013.05.16 20:44:16 | 000,377,856 | ---- | C] () -- C:\Users\pepi\Desktop\gmer_2.1.19163.exe
[2013.05.16 20:32:52 | 000,000,020 | ---- | C] () -- C:\Users\pepi\defogger_reenable
[2013.05.16 20:31:50 | 000,050,477 | ---- | C] () -- C:\Users\pepi\Desktop\Defogger.exe
[2013.05.02 14:29:08 | 000,002,537 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Office Excel Viewer.lnk
[2013.05.02 14:28:14 | 000,002,543 | ---- | C] () -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft PowerPoint Viewer .lnk
[2013.04.28 09:59:28 | 000,023,624 | ---- | C] () -- C:\Windows\Launcher.exe
[2013.04.28 09:58:06 | 000,000,611 | ---- | C] () -- C:\Windows\System32\InstallUtil.InstallLog
[2013.04.28 09:54:37 | 000,002,551 | ---- | C] () -- C:\Users\Public\Desktop\Free System Utilities.lnk
[2013.04.28 09:53:30 | 000,000,207 | ---- | C] () -- C:\Users\pepi\Desktop\Amazon.url
[2013.04.26 21:05:10 | 000,001,908 | ---- | C] () -- C:\Users\pepi\Desktop\bewerbungcsi.rtf
[2013.04.26 21:04:30 | 000,003,214 | ---- | C] () -- C:\Users\pepi\Desktop\bewerbungcsi.odt
[2012.10.24 15:13:52 | 000,003,948 | R--- | C] () -- C:\Windows\System32\drivers\nvphy.bin
[2012.02.21 22:35:21 | 002,469,760 | ---- | C] () -- C:\Windows\System32\BootMan.exe
[2012.02.21 22:35:21 | 000,086,408 | ---- | C] () -- C:\Windows\System32\setupempdrv03.exe
[2012.02.21 22:35:21 | 000,019,840 | ---- | C] () -- C:\Windows\System32\EuEpmGdi.dll
[2012.02.21 22:35:21 | 000,014,216 | ---- | C] () -- C:\Windows\System32\epmntdrv.sys
[2012.02.21 22:35:21 | 000,008,456 | ---- | C] () -- C:\Windows\System32\EuGdiDrv.sys
[2011.11.19 13:40:50 | 000,000,092 | ---- | C] () -- C:\Users\pepi\AppData\Local\fusioncache.dat
[2011.06.21 17:54:53 | 000,080,896 | ---- | C] () -- C:\Windows\System32\RDVGHelper.exe
[2011.06.21 17:39:57 | 000,066,048 | ---- | C] () -- C:\Windows\System32\PrintBrmUi.exe
[2010.09.04 22:00:36 | 000,000,056 | -H-- | C] () -- C:\ProgramData\ezsidmv.dat
 
========== ZeroAccess Check ==========
 
[2009.07.14 06:42:31 | 000,000,227 | RHS- | M] () -- C:\Windows\assembly\Desktop.ini
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
 
[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2013.02.27 06:55:05 | 012,872,704 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2010.11.20 14:19:02 | 000,606,208 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free
 
[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]
"" = %systemroot%\system32\wbem\wbemess.dll -- [2009.07.14 03:16:17 | 000,342,528 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both
 
========== Alternate Data Streams ==========
 
@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:EBAA0CD9

< End of report >

--- --- ---

Franksch · 19.05.2013, 16:05

hier nochmal die logfiles inklusive gmer

aharonov · 20.05.2013, 19:47

Ok, dann die weiteren Schritte:

Schritt 1

Gehe zu Start --> Systemsteuerung und öffne Programme und Funktionen.
Suche und deinstalliere dort der Reihe nach folgende Einträge:
- Iminent
- Ask Toolbar
- Browser Updater 1.1
- Protected Search 1.1
- Tracker Toolbar Updater
Schliesse das Fenster wieder und führe einen Neustart durch, wenn das gefordert wurde.

Schritt 2

Downloade Dir bitte

AdwCleaner auf deinen Desktop.

Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
Starte die AdwCleaner.exe mit einem Doppelklick.
Stimme den Nutzungsbedingungen zu.
Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
- "Tracing" Schlüssel löschen
- Winsock Einstellungen zurücksetzen
- Proxy Einstellungen zurücksetzen
- Internet Explorer Richtlinien zurücksetzen
- Chrome Richtlinien zurücksetzen
- Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Schritt 3

Scan mit Combofix

WARNUNG an die MITLESER:
Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel: Link

WICHTIG: Speichere Combofix auf deinem Desktop.

Deaktiviere bitte alle deine Antivirensoftware sowie Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören. Combofix meckert auch manchmal trotzdem noch, das kannst du dann ignorieren, mir aber bitte mitteilen.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Während Combofix läuft bitte nicht am Computer arbeiten, die Maus bewegen oder ins Combofixfenster klicken!

Wenn Combofix fertig ist, wird es ein Logfile erstellen.

Bitte poste die C:\Combofix.txt in deiner nächsten Antwort (möglichst in CODE-Tags).

Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
Es wurde versucht, einen Registrierungsschlüssel einem ungültigen Vorgang zu unterziehen, der zum Löschen markiert wurde.
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Schritt 4

Starte bitte die OTL.exe.

Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Log von Adwcleaner
Log von Combofix
Log von OTL

Franksch · 22.05.2013, 10:20

hiho,
beim deinstallieren der vorgegebenen programme sind folgende "ungereimtheiten" aufgetreten:

ask toolbar ist in der liste nicht vorhanden,

nachdem ich den tracker toolbar updater deinstalliert hab öffnete sich ein fenster mit der mitteilung:
tracker toolbar updater wurde erfolgreich gestoppt!

ich hab die systemsteuerung dann geschlossen und die seite zum deinstallieren nochmals geöffnet und der tracker toolbar updater war immernoch da.

lg
frank

aharonov · 22.05.2013, 12:34

Hallo Frank,

wie läuft der Rechner jetzt?
Wir kontrollieren noch und schliessen vorhandene Sicherheitslücken.

Schritt 1

Fixen mit OTL

Starte bitte die OTL.exe.
Kopiere nun den Inhalt aus der Codebox in die Textbox.

Code:

ATTFilter

:OTL
IE - HKU\S-1-5-21-479234592-2086811900-668991277-1000\..\SearchScopes\{667A9CCB-8B66-4B2C-AED2-2F9ED0789814}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=TKR&o=15589&src=kw&q={searchTerms}&locale=de_DE&apn_ptnrs=^IY&apn_dtid=^YYYYYY^YY^DE&apn_uid=c08426fb-9a44-4596-9456-ac5b9c2b9644&apn_sauid=EBFB2689-3F4B-4FC1-9ED5-36D3A7633361
@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:EBAA0CD9

:commands
[emptytemp]

Solltest du deinen Benutzernamen z. B. durch "*****" unkenntlich gemacht haben, so füge an entsprechender Stelle deinen richtigen Benutzernamen ein. Andernfalls wird der Fix nicht funktionieren.
Schließe bitte nun alle Programme.
Klicke nun bitte auf den Fix Button.
OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
Nach dem Neustart findest Du ein Textdokument auf deinem Desktop.
( Auch zu finden unter C:\_OTL\MovedFiles\<Uhrzeit_Datum>.txt)
Kopiere nun den Inhalt hier in Deinen Thread

Schritt 2

Downloade Dir bitte

Malwarebytes Anti-Malware

Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
Starte Malwarebytes' Anti-Malware (MBAM).
Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Schritt 3

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Schritt 4

Downloade Dir bitte

SecurityCheck und:

Speichere es auf dem Desktop.
Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

Schritt 5

Starte bitte die OTL.exe.

Setze den Haken bei Scan all Users.
Drücke auf den Quick Scan Button.
Poste den Inhalt von OTL.txt hier in den Thread.

Bitte poste in deiner nächsten Antwort:

Fixlog von OTL
Log von MBAM
Log von ESET
Log von SecurityCheck
Log von OTL

aharonov · 28.05.2013, 01:16

Hi,

ich hab schon länger keine Antwort mehr von dir erhalten. Brauchst du weiterhin noch Hilfe?

Wenn ich in den nächsten 24 Stunden nichts von dir höre, gehe ich davon aus, dass sich das Thema erledigt hat und lösche es aus meinen Abos.

Hinweis: Wir sind noch nicht fertig! Auch wenn die Symptome verschwunden sein sollten, kann dein System weiterhin infiziert sein und über Sicherheitslücken verfügen, welche eine erneute Infektion möglich machen.

16.05.2013, 20:12	#7
aharonov /// TB-Ausbilder	rechner gesperrt ,bundesamt-trojaner Hallo Frank, das ist gar kein Problem, danke für die Mitteilung. __________________ cheers, Leo

16.05.2013, 20:40	#9
aharonov /// TB-Ausbilder	rechner gesperrt ,bundesamt-trojaner Alles klar, bis dann. __________________ cheers, Leo

rechner gesperrt ,bundesamt-trojaner

Log-Analyse und Auswertung: rechner gesperrt ,bundesamt-trojaner